恶意代码分析实战
参考书目
Michael Sikorski Andrew Honig 著
诸葛建伟 姜辉 张光凯 译
实验是自己做的,图片是自己截的。
操作环境实验工具
吾爱破解:https://www.52pojie.cn/forum.php
破解专用虚拟机:https://www.52pojie.cn/thread-661779-1-1.html
(如果Win7系统不稳定可以使用吾爱破解专用虚拟机)
1.操作场景:VMware workstation 15.5 + Windows7
VMware安装Windows7:https://blog.csdn.net/weixin_43465312/article/details/92662519
2.实验工具:
ProcessExplorer:https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
ProcessMonitor:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Strings:https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
PEiD:https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
Regshot:https://sourceforge.net/projects/regshot/
Wireshark:https://www.wireshark.org/
实验
Lab3-1
使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。
问题
1.
首先用PEiD打开Lab03-01.exe,可以看到Lab03-01.exe是加壳的
其次看一下导入函数,唯一的导入函数是ExitProcess
最后通过Strings看一下有哪些字符串
2.
打开ProcessExplorer和ProcessMonitor
该恶意代码创建了一个名为WinVMX32的互斥量
并复制自身到C:\Windows\System32\vmx32to64.exe并安装自己到系统自启动项中
通过创建注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver并将其设置为复制副本的位置
3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?
恶意代码在进行www.practicalmalwareanalysis.com的域名解析
Lab3-2
使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码。
问题
用PEiD打开Lab03-02.dll
用Strings打开Lab03-02.dll
1.
暂时没有找到解决办法…
2.
3.
4.
5.
6.
Lab3-3
在一个安全的环境中执行Lab03-03.exe文件中发现的恶意代码,同时使用基础的动态行为分析工具监视它的行为。
问题
1.
恶意代码执行了对svchost.exe文件的替换
2.
内存映像拥有如practicalmalwareanalysis.log和[ENTER]这样的字符串
3.
恶意代码上创建了一个practicalmalwareanalysis.log日志文件
4.
窃取键盘输入
Lab3-4
使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。
问题
1.
双击运行恶意代码时程序会立即将自身删除
2.
3.
(在第九章的实验作业中进一步分析这个恶意代码)
认真是一种态度更是一种责任