恶意代码分析2

image.png

说明加过壳了(果然如此,加的是UPX壳)

image.png

使用脱壳机直接脱壳:

image.png

脱完壳以后发现变得正常了:

image.png

发现其创建了一个服务:重点怀疑的对象：

image.png

发现其有联网的操作：(表明这个程序开了后门!)

image.png

image.png

利用strings 命令:(拖进去的是脱完壳以后的情况)

image.png

image.png

总结：
通过第一篇和第二篇的学习，简单总结一下病毒分析的一些前置步骤：
1.先将其拖至www.VirusTotal.com等相关网站检测；
2.可以利用010Editor查看其PE完整结构；
3.PEID登场,将文件拖进去之后可以判断其有没有加壳，加混淆等
4.利用PEID查看其导入表，是否有敏感API，可以对其行为进行推测，常见的敏感API以及dll有：(会不断更新)
ws2_32.dll(说明使用到了Socket套接字,)
kernel32.dll中的一些敏感API:sleep,createProcessA;CopyFileA;CreateServicesA,InternetOpen(InternetOpenurlA)(说明此程序连接后门了),CreateFileA,FindFirstFileA;FindNextFileA;

如果发现其没有输出表,则表明此文件十分可疑！！！

5.利用cmd中strings命令!