转自:http://blog.csdn.net/microzone/article/details/52233649 作者:5t4rk
0x001
前期基础知识储备
1 恶意行为特征,病毒,蠕虫,木马的认识了解。
2 相应工具的操作基础学习。
0x002
系统环境
vmware12
win7 x64
0x003
工具清单
tcpview
pchunter
wireshark
process monitor
sublime
editplus
hash
depends
0x004
逆向流程
1 具体测试程序样本test.exe
File: C:\Users\ROOT\Desktop\TEMP\test.exe
Size: 84480 bytes
Modified: Wednesday, July 13, 2016, 8:26:25 PM
MD5: 9CB934CA6A22E5716217AB9F0A27B344
SHA1: CF9A12598D4C63FC36665B163810052F9FFE8CDD
CRC32: 3379D8C8
2 先快照备份系统
process monitor打开 规则设置为监控test.exe程序的行为特征。
1 进程线程行为
2 文件访问行为
3 注册表访问行为
4 网络行为行为
5 线性事件活动行为
3 pchunter打开
4 wireshark打开
5 tcpview打开
0x005
然后双击程序,捕获行为。
0x006
整理结果如下(记录行为有以下几种)
1 该样本程序进行了多方式开机启动。
2 该样本程序没有进行网络通信建立连接。
3 该程序进行了自删除操作,实现隐藏自己。
4 该程序没有释放任何别的dll子文件。
5 二进制对比和hash校验,没有发现有自身文件变化。
6 注册表创建,修改,删除多项操作。
7 复制自身到开始启动文件夹。