Lab03-04.exe
1)静态分析
MD5求值
用PEview工具查看PE文件
因为运行Lab03-04.exe文件是他会自动删除,再根据这三者函数推测恶意代码有自毁功能
由上图可知此恶意代码没有加壳
证明此文件的确没有被加壳
查看文件可见字符串
Command.com和COMSPEC可知恶意代码具有网络
行为
出现许多显示错误的字符串暂时不知道什么意思
出现多次sleep sleep的意思是使程序暂停一段时间
又看到了网址 更加确定此恶意代码有网络行为
2)动态分析
先用Regshot查看注册表是否被修改
可见注册表被修改暂时看不出发生了什么行为
在使用Process Explorer文件启动Lab03-04.exe时
只留下了conime.exe这一个程序
Conime.exe此程序允许攻击中访问你的你的计算机,窃取密码和个人数据。
同时此恶意代码自毁不留痕迹
由此猜测此恶意代码通过植入conime.exe文件进入网络进行窃取和破坏。
利用Process Monitor工具然后运行恶意代码 不同的是恶意代码没有自毁
运用虚拟网络进行分析
也没有任何的网络行为
实验结论
通过静态分析的一些猜测在动态分析和网络分析中都没有得到证实,但是此而恶意文件在自删除之前建立了一个conime.exe程序但是没有发生任何其他行为。
所以认定此恶意代码只是虚张声势罢了