恶意代码分析2

恶意代码分析2_第1张图片
image.png

说明加过壳了(果然如此,加的是UPX壳)

恶意代码分析2_第2张图片
image.png

使用脱壳机直接脱壳:


恶意代码分析2_第3张图片
image.png

脱完壳以后发现变得正常了:


恶意代码分析2_第4张图片
image.png

发现其创建了一个服务:重点怀疑的对象:


恶意代码分析2_第5张图片
image.png

发现其有联网的操作:(表明这个程序开了后门!)


恶意代码分析2_第6张图片
image.png

恶意代码分析2_第7张图片
image.png

利用strings 命令:(拖进去的是脱完壳以后的情况)


恶意代码分析2_第8张图片
image.png
恶意代码分析2_第9张图片
image.png

总结:
通过第一篇和第二篇的学习,简单总结一下病毒分析的一些前置步骤:
1.先将其拖至www.VirusTotal.com等相关网站检测;
2.可以利用010Editor查看其PE完整结构;
3.PEID登场,将文件拖进去之后可以判断其有没有加壳,加混淆等
4.利用PEID查看其导入表,是否有敏感API,可以对其行为进行推测,常见的敏感API以及dll有:(会不断更新)
ws2_32.dll(说明使用到了Socket套接字,)
kernel32.dll中的一些敏感API:sleep,createProcessA;CopyFileA;CreateServicesA,InternetOpen(InternetOpenurlA)(说明此程序连接后门了),CreateFileA,FindFirstFileA;FindNextFileA;

如果发现其没有输出表,则表明此文件十分可疑!!!

5.利用cmd中strings命令!

你可能感兴趣的:(恶意代码分析2)