学习笔记-第三章 恶意代码分析实战

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/Yes_butter/article/details/88085524

第三章

1.使用沙箱分析恶意代码，部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序，不能带有命令行的选项。
	如果恶意代码需要一些指令才可以运行，在不提供条件的情况下，任何代码都不会被执行。

2.运行恶意代码。
	启动dll文件，可以使用 cmd命令 rundll32.exe DLLname,Export argc
	export argc是dll导出表的函数名或者序号。

3.Process monitor。 Windows下面的高级监视工具，提供监控注册表，文件，网络，进程，线程行为。
	可以选择filter进行过滤。常用过滤有 operation，pid,process name...

4.Process Explorer 进程浏览器。可以查看进程的信息process,pid,cpu,description,company name。视图每秒更新一次。

5.Regshot 比较注册表快照。如果是对注册表进行分析时，可以选择使用这个来比较程序运行前后注册表的变化。

6.模拟网络。

7.wireshark 记录网络数据包。

8.基础动态分析工具实践。
 <1>.运行进程监视器，设置过滤可执行恶意代码名，运行前清空所有事件
 <2>.启动进程浏览器
 <3>.使用regshot 进行注册表的第一个快照
 <4>.使用wireshark来记录网络行为。
 <5>.运行恶意程序，通过前面的软件进行分析。

课后作业

实验软件：wireshark, process monitor, process explorer, exeinfo pe, olldbg

Lab 3-1

使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。

问题

1.找出这个恶意代码的导入函数与字符串列表？
  A:使用静态分析工具发现程序加壳，查看导入表发现只有一个退出，查看字符串获得的信息比较局限。
  所以使用动态分析方法来对程序进行全面的分析。

2.这个恶意代码在主机上的感染迹象特征是什么？
  A:由于程序过于老旧，不能运行。分析发现
  Lab03-01.exe 732 RegCloseKey HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options SUCCESS
  关闭了这个键值，因为打不开无法更改吧。推测会对这个键值进行修改。

3.这个恶意代码是否存在一些有用的网络特征码？如果存在，它们是什么？
  A:在查看字符串时查看到了网站网址。

Lab 3-2
使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码。

静态分析
  通过查看导出表，发现install函数推测是安装函数。
  查看导入表，发现和服务有关的api和网络的ws2_32,注册表有关，联网操作。
  查看字符串查看到 cmd.exe和svchost.exe 宿主程序。
  水平有限，动态分析未完成，无法正常运行程序。

问题

1.你怎样才能让这个恶意代码自行安装？
  A:rundll32.exe Lab03-02.dll installA

2.在安装之后，你如何让这个恶意代码运行起来？
  A:推测没有正常运行，观看学习时发现，并不能正确运行，
  通过process explorer查找dll并没有发现dll，推出没有成功运行，推测是系统兼容性问题没有成功安装。

3.你怎么能找到这个恶意代码是在那个进程下运行的？

4.你可以在procmon工具中设置什么样的过滤器，才能收集这个恶意代码的信息？
  A:设置pid可以过滤这个恶意代码的信息

5.这个恶意代码在主机上的感染迹象特征是什么？

6.这个恶意代码是否存在一些有用的网络特征码？
  A:查看导入表发现了和注册表有关的内容。

Lab 3-3

在一个安全的环境中执行Lab03-03.exe文件中发现的恶意代码，同时使用基础的动态分析工具监视它的行为。

  兼容性问题，更改之后仍然是打不开。采用静态分析。
  导入表发现 读取文件，关闭句柄，创建进程。
  字符串发现 \svchost.exe
  水平有限，动态分析未完成，无法正常运行程序。

问题

1.当你使用process explorer 工具进行监视时，你注意到了什么？

2.你可以找出任何的内存修改行为吗？

3.这个恶意代码在主机上的感染迹象特征是什么？

4.这个恶意代码的目的是什么？

Lab 3-4

  静态分析导入表 发现复制文件，休眠，写入文件，设置注册表内容，删除服务，脚本执行，网络
  分析字符串 发现upload,download,cmd, 注册表路径， 网址，

  使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。（这个程序还会在第9章的实验作业中进一步分析）

问题

1.当你运行这个文件时，会发生什么呢？
  A:打开之后程序自我删除。
2.是什么原因造成动态分析无法有效实施？
  A:查看进程信息
  Lab03-04.exe 2196 Process Create C:\Windows\SysWOW64\cmd.exe SUCCESS PID: 7576, Command line: “C:\Windows\System32\cmd.exe” /c del C:\信息安全\PRACTI_1\CHAPTE1\Lab03-04.exe >> NUL
  发现调用删除自身。
3.是否有其他方式来运行这个程序？
  A:无法得到有效的安装