恶意代码分析实战3-34

本次实验分析两个实验文件,分别为lab03-03.exe,lab03-04.exe.先来看lab03-03.exe的相关问题
Q1使用process explorer工具进行监视时,注意到了什么
Q2可以找出任何的内存修改行为吗
Q3恶意代码在主机上的感染特征是什么
Q4该恶意代码的目的是什么
依次分析。
开启process explorer,然后启动程序lab03-03.exe
此时会发现process explorer一闪而过
在这里插入图片描述

该程序创建了svchost.exe之后,然后自身进程就消失了,将svchost.exe作为“孤儿”进程运行,如下图所示
在这里插入图片描述

而正常情况下的svchost.exe应该是这样的
在这里插入图片描述

上图是正常的svchost.exe,它的父进程是services.exe
而这里被创建成孤儿进程的svchost.exe比较可疑
Q1使用process explorer工具进行监视时,注意到了什么
A1.恶意代码执行了对svchost.exe文件的替换
选中这个可以的svchost.exe,右键-》propertites
在这里插入图片描述

   切换到stirngs

在这里插入图片描述

左下角的image,memory可以进行切换
分别是磁盘镜像和内存镜像
在这里插入图片描述

我们在内存镜像中看到了Log日志文件,以及下面的一些tab,caps lock之类类似于我们键盘符号的字符串;这些标志在典型的svchost.exe中是不会出现的
Q2可以找出任何的内存修改行为吗
A2对比内存映像与磁盘映像中的svchost.exe, 显示它们并不是一样的。内存映像拥有如practicalmalwareanalysis . log和[ENTER]这样的字符串,而磁盘镜像中却没有
我们猜测这可能是一个键盘记录器
我们来测试一下,打开记事本
在这里插入图片描述

然后根据这个进程的pid去process monitor过滤查看
在这里插入图片描述

pid为3356
在这里插入图片描述

在过滤后的结果中看到
在这里插入图片描述

一直在操作log文件
我们根据路径打开这个文件看看
在这里插入图片描述

可以看到记录了我们在哪个窗口,从键盘输入了什么,证实了猜测。
Q3恶意代码在主机上的感染特征是什么
A3.这个恶意代码创建了一个practicalmalwareanalysis.log日志文件

Q4该恶意代码的目的是什么
A4.这个程序在svchost.exe进程上执行了进程替换,来启动一个击键记录器
接下来我们分析lab03-04.exe
Q1当你运行这个文件时,会发生什么
Q2是什么原因造成动态分析无法有效实施
Q3是否有其他方式运行这个程序

先静态分析,载入peview看看
导入函数:
在这里插入图片描述

可以看到是有关注册表的操作,还有个deleteservice,待会儿会发现它的作用
再来看看有没有什么特殊的字符串
在这里插入图片描述

看到了域名、注册表位置(如SOFTWARE\Microsoft\XPS),http/1.0还有DOWNLOAD,UPLOAD等信息,我们的猜测是可能是一个后门程序,会未经允许访问网站。而-cc,-re,-in应该是一些命令行参数(如-in可能是install的缩写)
接下来进行动态分析,为了监控行为,打开process monitor,process explorer
将lab03-04.exe复制到桌面后双击
发现先是弹窗,继而程序自身就被删除了
Q1当你运行这个文件时,会发生什么
A1.当你双击它运行这个恶意代码时,程序会立即将自身删除掉。

整个过程中,process explore的进程列表没有任何变化
在这里插入图片描述

那么去process monitor看看
加上过滤条件
在这里插入图片描述

我们这里关注进程监控
在这里插入图片描述

可以看到有process create的操作,是打开了一个cmd程序
双击可以看到事件属性
在这里插入图片描述

可以知道,是通过cmd执行了一条命令,这条命令的字符串与我们之前静态分析看到的是一致的。
这条命令的作用就是删除自身。
Q2是什么原因造成动态分析无法有效实施
A2.我们怀疑可能需要提供-一个命令行参数,或者这个程序的某个部件缺失了 Q3是否有其他方式运行这个程序
A3我们尝试使用在字符串列表中显示的一些命令行参数,比如在前面查看字符串时看到的-in.-re,-cc等, 但这样做却没有得到有效的结果,需要更深入的分析。( 我们将在第9章的实验中进一步分析这个恶意代码。)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值