Lab 3-1
1、首先静态分析,使用PEid分析,加壳
目前还不会PEncrypt的脱壳,后续再补充(网上资料PEnrypt 3.1 Final的OEP在401528处,以后验证)
因为加壳了,所以显示的导入表和函数不多 。
使用strings进行查看
出现了连接的恶意网址,以及注册表的位置,尤其是..\Run,是恶意软件常用的自启动的,以及恶意软件vmx32to64.exe可能是适配32位的操作环境。
2、简单的动态分析
打开wireshark、process monitor(过滤为进程名为Lab03-01.exe)、process explorer、Regshot
首先用regshot建立注册表快照;
运行恶意软件
process monitor设置过滤
创建了一个互斥量,实现计算机在某个资源同一时间只有一个对象在运行,
注意ws2_32.dll和wshtcpip.dll:说明有联网操作
通过pricess monitor发现:有创建进程、线程、文件、改变注册表 ,读写文件等操作
进一步筛选,过滤器 写文件和注册表写键值、
发现了新建的恶意可执行文件
大小和源文件相同,猜测复制到该处。
通过第三条,加进为自启动项
综上,创建了互斥量,并将自身复制到了指定位置,并且设置为开机自启动项。
3
Lab3-2
先用peid看一下 发现没加壳
输出表:猜测installA是安装程序
用strings查看一下字符串,有联网和创建文件等操作
网址
可能是宿主程序
注册表位置
使用dependency walker查看
对注册表进行操作、联网、读文件、休眠
打开regshot进行快照
使用rundll32.exe运行installA.exe
分析两次regedit快照
看到创建了 IPRIP的服务,以及镜像地址 svchost.exe还有相关描述
通过运行命令提示符 net start IPRIP运行恶意代码
通过process explorer查看运行的进程(因为dll文件不直接显示,所有通过查找该dll,找到其依附的进程)
所以在process monitor中设置PID为1020的过滤器
Lab 3-3
用peid查看没加壳,查看导入函数,有读写文件,建立文件,创立线程,休眠
打开process explorer和monitor
1、现象:出现了Lab03-03.exe进程 但是一闪而过,然后创建了一个没有父进程的svchost.exe
2、对比svhost.exe的内存映像和磁盘映像,多了一个日志文件
可能是一个键盘记录器
通过process monitor 查看该程序的pid
找到创建的文件的位置
证明就是一个键盘记录器
3、创建了一个日志文件
4、使用svchost。exe混淆,并创建了一个日志文件记录键盘输入。
Lab 3-4
使用PE i D查看没加壳,查看输入函数
有复制文件,读写文件,休眠,创建文件,创建服务,注册表修改,调用cmd
通过strings发现
可能有联网操作,download ,可能是一个http的后门下载程序
1、process explorer没有检测到,并且该文件自己删除了。