恶意代码分析实战 Lab1

Lab 1-1

1将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:

可以看到,大部分匹配到了w32/Ramnit系列病毒特征

2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:

第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.

3看是否加壳最快的当然是用PEID看一下就好,不存在加密混淆.

4从上面的截图可以看出,恶意程序执行一些文件操作的行为,查找文件(FindFirstFileA,FindNextFilesA),创建文件(CreateFileA),读写文件(CopyFileA),创建内存映射对象(CreateFileMappingA),.dll文件创建进程执行程序(CreateProcess),创建互斥量(OpenMutexA) 联网(WS2_32.dll)等行为

5用IDApro查看.exe文件字符串截图如下:

可以看到两个kernel32.dll的细微差别,一个是kernel32.dll,一个是kerne132.dll,可以推测恶意程序劫持了kernel32.dll,还有.exe结合第四点推测他可能查找一个可执行文件

6用IDApro查看.dll文件的字符串:

结合WS2_32.dll推测他可能链接这个IP地址,获取exec命令来运行一个程序,一个sleep来是后门程序休眠

7由经验:后门程序常用GetProcess和sleep,得到总结.dll是个后门程序,而.exe加载运行.dll

Lab1-2

1匹配到已有反病毒软件特征,结果和上一题类似就不贴图了,感兴趣可以自己上传查看.

2在option里面选中核心扫描,普通扫描测不出来

脱壳的话,我在给的链接下载的upx394w就可以脱壳成功截图:

也可以手动脱壳,用ollydbg打开找到OEP

PETooldump内存,接着用ImportREC修复输入表

脱壳后用PEID查看:

3下面两个函数说明了程序会打开一个链接

创建服务相关函数

4用IDApro查看字符串

一个Malservice服务名称,一个链接,可以通过监视网络流量检查被恶意代码感染的主机

Lab1-3

2PEID查看 FSG加壳

 ollydbg手动脱壳查找oep选择第三个就可直接到达OEP处,然后选择分析代码,接着选择下图第一个选项dump出来即可.

脱壳后:

3组件对象模型com的相关操作

4得到一个链接,可以作为网络迹象说明主机是否被感染

Lab1-4

2没有加壳

3 PETool查看时间,可以看出是个不可信的时间

4权限操作相关函数

注意最后两个函数告诉我们,程序将会创建一个可执行文件并且运行他

5第一行说明恶意代码创建的程序

6将资源文件用resource hacker打开,可以轻易判断出这是一个.exe文件

提出来保存成.exe文件再用IDApro打开,查看字符串可以看到一个链接,推测wupdmgrd.exe程序就是从这个链接下载得到.