Lab01-04.exe
問題と分析
まず尋ねました
http://www.virusTotal.com/にアップロードLab01-04.exeファイルは、レポートを分析し、表示。アンチウイルスソフトウェアの既存の機能が行う一致するファイル?
上記の情報は、以下の特徴によって得ることができます。
-
TrojanDownloaderトロイの木馬ダウンローダ
-
Trojan.Heur.RP.E9A4EDトロイの木馬、スローダウンしているかさえコンピュータネットワークをクラッシュ、コンピュータ等、遅い実行されています
分析は可能性が高いエンジンの大部分は、バックドア型トロイの木馬ソフトウェアのダウンロードを表示することが示されました
ここではいくつかの詳細は以下のとおりです。
2番目の質問
このファイルの兆候が詰まったり混乱さがありますか?どのように、これらの兆候は何ですか?可能であれば、砲撃か?
:最初のPEIDによって検出されていない
あなたがここで見ることができ、そして何のシェル
そして、情報PEビュービュー祭を使用
ここでは、実際のデータのサイズよりも小さい仮想サイズは、通常の状態であり、正常な部分は、できることが分かるプログラムが充填されていないと判定します
3番目の質問
このファイルがコンパイルされると?
そして、実際には、私たちに語っているvirustotal
タイムスタンプ2019:08:30 23:26:59 + 01:00
また、できるDependency Walkerを見て、だけでなく、値
第四に尋ねます
このプログラムの機能を暗示することができます何のインポート機能はありませんか?その場合は、インポート機能が何であるか、彼らはあなたに何を教えてくれるか?
这个函数导入了CreateFileA和MoveFileA这个函数,说明它可以创建一个文件和移动一个文件
还有CreateRemoteThread说明这个函数会在一个远程进程(Remote Process)里面创建一个自己的远程线程(Remote Thread)来运行恶意代码
还有FindResourceA、LoadResource和SizeofResourse这个函数,说明它再查找资源节的内容
GetCurrentProcess和OpenProcess这个是获得想要获得进程的文件描述符,也是为了操作远程的进程
值得注意的是GetTempPathA这个函数,这说明这恶意代码可能会使用Temp目录
WinExec说明这个程序可以运行另一个程序代码
然后在ADVAPI32.DLL中呢,我们可以看到这几个导入函数
AdjustTokenPrivileges说明这个函数可以通过令牌的方式确保只运行一个进程在系统中
LookupPrigilegeValueA说明这个程序可以去查找用户的登录信息等系统敏感信息
第五问
哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
我们打开ida看看
可以看出这个程序会有一个\system32\wupdmgr.exe、\winup.exe的程序和psapi.dll、sfc_os.dll的动态链接库,我们可以根据这个来查找
下面是我使用Winhex 查找到的网址:http://www.practicalmalwareanalysis.com/updater.exe
可以通过这个http://www.practicalmalwareanalysis.com/updater.exe来断定这是下载木马的程序,木马就是updater.exe,在网络中的位置就是www.practicalmalwareanalysis.com,
第六问
这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
这个也是比较隐蔽的一种藏恶意代码的方式,我们先用Resource Hacker来看看这个文件
可以看出在BIN目录下有个101:1033
我们用一个资源节没用藏东西的程序看看会是什么样的
可以看出这里什么都没有
然后我将这个资源节里的代码导出来保存,再用ida来分析
保存为一个exe文件格式之后
再用ida打开
可以看到标黄的就是我们导出的东西
然后我们就可以发现这个导出的恶意代码里面包含了一个网址,和我们刚刚分析主程序时候的那个wupdmgrd.exe和winup.exe
然后这时候我们也可以通过这个http://www.practicalmalwareanalysis.com/updater.exe来断定这是下载木马的程序,木马就是updater.exe,在网络中的位置就是www.practicalmalwareanalysis.com,当然,回答上一问,我们也可以通过这个网络流量数据来分析判断受感染的机器的特征
关键提示和要求:
1、使用virustotal.com查看程序,分析报告;
2、用PEview和PEiD分析是否加壳(注意该程序的节的名称);导入表叫什么名字?
3、根据PEview,导入表中有哪些动态链接库?导入函数偶哪些?advapi32.dll使用的函数做什么事情?结合kernel32.dll使用了writeFile和WinExec函数,这个程序能够做什么事情?
4、仔细查看资源节,看看资源节的格式是否熟悉?
5、用strings查看字符串;字符串中有URL和路径信息吗?是什么信息?结合第3步,思考这个程序要做什么事情?
6、根据第4步的结果,使用Resource Hacker将资源节的内容保存为一个二进制文件。(注意文件保存的路径;注意,是保存资源节的内容。将二进制文件改为可执行文件。
図7は、この新しいファイルPEviewを分析し続けます。ビューのインポートテーブルには、関数を呼び出すこれらの関数を参照して、何もすることができ、このプログラムについて考えますか?
引用文
1. 「実用的なマルウェア分析」マイケル・シコルスキ、アンドリューホニッグ・2012年までに
理由はあまりにも小さすぎるへのアクセス、ない列挙ここ2、オンラインだけでなく、古い作品の一部、。
