「悪意のあるコード解析の実践」実験 - Labs-03
「Malicious Code Analysis Practice」に実験を記録し、関連リンクを提供します。
Labs-03-1 実験
Win7環境では対象プログラムは実行できませんので、具体的な操作方法は動画をご覧ください。
Labs-03-2 実験
1. 悪意のあるコードを自分自身にインストールさせるにはどうすればよいですか?
最初に静的分析を行います
1) Peid インポートおよびエクスポート機能を表示し、分析
操作を実行します。まずエクスポート機能を表示します。インストール機能とアンインストール機能、Install、installA、および uninstallA が見つかります。
インポート関数テーブル: 主な関数には、プロセスの作成、パスの取得、ファイルの読み取り、スレッドの作成、レジストリの変更と作成、サービスの作成、リクエストの送信、インターネットへの接続などが含まれます。
2) 文字列 不審な文字列を確認し、不審な URL「practicalmalwareanalysis.com」といくつかの不審なパスと実行コマンドを見つけます。
3)実行プログラム:
dll プログラムは直接実行できないため、exe によって呼び出す必要があります。これは、コンピューター上の特定のプログラムにアタッチされることを意味しますが、それがどのプログラムであるかはわかりません。したがって、実行前に監視のために ProcessExplorer (PE) を開く必要があります。
i) Rundll32 は、実行する DLL 内のエクスポート インストール関数を実行します。
ii) PE にある添付のメイン プログラムは svhost.exe です。
2.Win32 環境ではプログラムを動的に実行できないため、Regshot、PM (プロセス モニター)、PE (プロセス エクスプローラー) の詳細情報をもとに解析してみると、次のことがわかります。:
- 1) Srings で分析したばかりのパスはレジストリの値です。
- 2) IPRIP サービスが作成されます
- 3) 悪意のあるプログラムによってスタートアップ項目に追加される。
- 4) PM、PE、および Wireshark を使用してパケットをキャプチャし、IPRIP サービスを分析します。まず監視ソフトウェアを開き、次に net start IPRIP を使用します。
Labs-03-3 実験
ターゲット プログラムは Win7 システムでは実行できません
Labs-03-4 実験
1. このプログラムを実行すると何が起こりますか?
プログラムは自動的に
静的分析を削除します:
1) シェルをチェックします: シェルなし、C++ で書かれています。
2) インポートされた関数を表示します。
- a. ファイルの読み取り、書き込み、コピー、ファイルの作成と削除、パスの取得、プロセスの作成などを行うことができます。
- b. サービスの作成と削除、サービスのオープン、レジストリの作成、変更、削除。
- c. シェルバックドア
- d. ネットワーク運用
3) 文字列分析:
- a. ネットワーク データ パケットを送信します
- b. インターネットに接続してファイルをアップロードおよびダウンロードする
- c. システムコマンドも実行されます
- d. リンク先の URL は http://www.practicalmalwareanalysis.com です。
2. 動的解析を効果的に実装できない理由は何ですか?
プログラムの実行にはパラメータが必要であるか、他の必要なファイルが不足している可能性があります。1
) まず監視のために PM を開いて (フィルタを使用してプログラム名を指定)、プログラムを実行します。
2) プロセスツリーを確認すると、確かに cmd コマンドが実行されますが、その内容はプログラム自体を削除するものです。
3. このプログラムを分析する他の方法はありますか? それは逆分析
によって見つける必要があります。