《恶意代码分析实战》实验——Labs-03
记录《恶意代码分析实战》中的实验,提供相关链接:
Labs-03-1实验
目标程序在 Win7 系统下无法执行,具体操作见视频。
Labs-03-2实验
1.如何让恶意代码自行安装?
先静态分析
1) Peid 查看导入导出函数,进行分析
操作:首先查看导出函数:可以发现安装和卸载的函数,Install,installA 和uninstallA
导入函数表格:主要功能有创建进程、获取路径、读取文件、创建线程、修改和创建注册表、创建服务、连网发送请求和进行连接等
2) String查看可疑字符串,发现可疑的网址“practicalmalwareanalysis.com” 和一些可疑的路径和执行命令。
3)执行程序:
由于dll程序不能直接运行,需要被exe调用,也就是说它会附着到计算机的某个程序中,但是我们并不知道是哪个程序。因此我们需要在执行前打开ProcessExplorer (PE) 进行监控。
i) Rundll32 执行dll中的导出install函数进行运行:
ii) 在PE中找到依附的主程序是svhost.exe
2.程序无法在Win32下动态执行,接下来应该根据Regshot, PM (Process Monitor) 和PE (Process Explorer) 中的详细信息进行分析,会发现:
- 1)刚刚Srings中分析的路径是注册表的值,
- 2) 会创建一个IPRIP服务
- 3) 被恶意程序添加到开机启动项中;
- 4) 利用 PM 和 PE 以及 wireshark 抓包分析 IPRIP 服务:先打开监控软件,然后用 net start IPRIP
Labs-03-3实验
目标程序无法在 Win7 系统下运行
Labs-03-4实验
1.运行这个程序时会发生什么?
程序会自动删除
静态分析:
1) 查壳:无壳,C++编写
2) 查看导入函数:
- a. 会读写复制文件、创建删除文件、获取路径、创建进程等;
- b. 创建删除服务、打开服务、创建、修改和删除注册表;
- c. Shell后门
- d. 连网操作
3) Strings分析:
- a. 会发送网络数据包
- b. 连网进行上传和下载文件
- c. 还会执行系统命令
- d. 连接的网址可能是http://www.practicalmalwareanalysis.com
2. 什么原因导致动态分析无法有效实施?
程序的运行可能需要参数或者是缺少其他必要的文件
1) 先打开 PM 进行监控(利用filter筛选指定程序名称),然后执行程序:
2) 查看进程树,发现的确会执行cmd命令,cmd命令的内容就是删除程序本身。
3.是否有其他方式分析此程序?
需要通过 逆向分析 的手段去查找。