20145319 《计算机病毒》实践三

20145319 《计算机病毒》静态分析1-2(实践三)

实验内容

• 在进行详细分析之前，我们依旧还是通过网站的扫描对其整体上有一个把握
• lab01-02.exe分析结果

查看加壳情况

• 每次分析恶意代码之前，我们都需要分析该恶意代码是否加了壳，以此来决定之后的分析方向以及分析手段
• 使用PE ID打开我们的目标程序，与想象中的不同，PE ID显示扫描无结果

• 

• 这时候我们通常有两种方法来解决，一种是尝试更深度的扫描，一种是查看其中的详细信息，看是否能找到我们想要的结果（下图分别为深度扫描结果和详细信息）

• 

• 

查看函数状况

• 根据查壳状态来看，该恶意程序附加了一个upx的壳，使用脱壳软件将其脱壳之后，我们在来查看其中的函数情况（脱壳软件很多，可以使用freeUpx,也可以使用WSUNPACKER）
• 使用Dependency Walker查看脱壳后的程序函数依赖关系

• 

• 其中openSCManager函数和createServeA函数表明了该恶意代码会建立同服务控制管理器的链接，并建立服务，可能是想通过将自身创建成服务来实现进程隐藏。

被感染主机上的线索

• 我们可以进一步查看该恶意代码中的字符串信息（可以使用pe view，不过我这里使用了Strings直接将其中的字符串打印出来，效果更直观）
• 暂时我只列出所有字符串信息中的一部分，其中两个地方比较引人注意，一个是Malservice，之前在分析函数信息时，我们曾看到过其中包含了有关创建服务，同服务控制管理器建立连接的函数，我们可以猜想，这个malservice是不是与新建的服务有关。
• 第二部分比较引人注意的就是其中的网址，通过监视计算机的网络连接状况，应该也能大概判断出，该计算机是否被攻击
•