恶意代码分析实战
Lab1-1
问题1
将文件Lab01-01.exe直接上传至http://www.VirusTotal.com 结果如下:
发现有四十七个报毒
将文件Lab01-01.dll文件上传至http://www.VirusTotla.com 结果如下:
发现四十个报错
综上,证明已经匹配到了病毒软件特征
问题2
用工具PETools查看.exe文件的编译时间:
用工具PETools查看.dll文件的编译时间:
可以看出两个文件编译的时间几乎相同,可以判断是由同一位恶意代码作者编写的
问题3
用PEid用具对.dll文件进行分析
可以分析出该文件是有VC++6.0编译的,所以可以判断出该文件未加壳
.exe文件同理
问题4
用工具dependency worker分析导入和导出函数如下
dll文件导入了WS2_2DLL函数库说明该文件需要连接网络
exe文件导入了FindFirstFile和FindNextFIle函数,可以对文件系统进行搜索
问题5
用strings工具查看exe文件中可打印的字符
.exe文件说明该文件可能是在文件系统中搜索某个可执行文件
kerne132.dll可能是为了隐藏文件而设计的文件名 可以作为基于主机的迹象
问题6
用strings工具查看dll文件中可打印的字符
该网址可能是网络连接的恶意网站 可以作为基于网络的迹象
问题7
综上所述,该文件在文件系统中搜索某个exe文件,将自己伪装成系统文件,并连接网络,可能是一个提供连接的后门