《恶意代码分析实战》实验——Labs-01
记录《恶意代码分析实战》中的实验,提供相关链接:
Labs-01-1 实验
1.上传到VT进行分析:
2.文件是什么时候编译的?
操作:用LordPE打开(其他的PE编辑器同样能完成),时间是2010年12月19日。
3.程序是否加壳或者混淆?
操作:用PEID进行检查:dll和exe都未加壳
4.有没有导入函数说明这个程序是做什么的?如果有是哪些函数?
操作:利用Dependency Walker 或者PEID实现导入函数查看,但是只能进行一个大概功能的猜测。
- 1) exe文件的主要功能:复制和查找文件(一般情况下是找到系统目录然后自我复制起到混淆的作用):
- 2) dll主要功能是进行联网操作,因为WS2_32.dll 是一条的一个网络操作函数库:
5.是否能够有其他迹象能够在受感染主机中主动查找?
操作:初步的检测用Strings 进行字符串的搜索。
- 1) 发现exe文件中存在一些敏感的字符串,kener132.dll 与系统的kenerl32.dll高度相似,同时在system32路径下,猜测该程序将会把lab01.dll改名为kerne132.dll 并且复制到system32的路径下,从而实现混淆的目的。
- 2) 在lab01.dll 中搜索字符串,发现WS2_32.dll,我们前面分析了,该dll 是一个网络操库函数,该dll会进行一些网络操作;后面发现一个IP地址,那么很大程度上相信网络操作将会连接该IP地址从而实现其他的恶意操作。
6.有什么网络迹象来发现该恶意程序?
操作: 如上已经分析,具体的行为需要抓包和逆向进行详细分析
7.猜测该文件的目的
- 1) 首先程序会进行自我复制到系统目录下
- 2) 然后将dll文件重命名然后复制到系统目录下
- 3) 恶意程序调用自己的dll进行连网操作(如下载其他的恶意软件、创建后门、上传收集到的信息等)
Labs-01-2 实验
1.传至VT。
2.是否被加壳或者混淆?如果加壳,请脱壳。
操作:
1)用PEID检测,发现被加壳:
2)进行深度扫描后发现,是UPX加壳:
3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写:
3.有没有导入函数能够暗示出该程序的功能?
操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。
4.那些基于主机的网络迹象能够发现此恶意程序
操作:利用string 进行敏感字符串搜索,发现特定的网址“http://xxx.com”这应该就是恶意软件将连接的网站;另外,前面分析了该程序会创建恶意进程,那么字符 “MalService” 极有可能是一个进程名:
Labs-01-3 实验
流程如01-1和01-2
Labs-01-4 实验
流程如01-1和01-2