恶意代码分析 关于第三章 Lab03-1

实际分析过程中，由于process monitor无法在Windows XP系统下使用，故使用火绒剑作为替代工具

---

环境

VMware® Workstation 15 Pro

apateDNS
ProcessExplorer v16.21.Chs
火绒剑
Strings
Dependency Walker

---

准备工作

安装相关软件
保存快照
网络模式为，仅主机模式

---

预览

要执行的实验文件为：

该文件为随书文件

---

静态分析

1. 查看字符串
2. 查看导入表

---

启动监视环境

1. 启动火绒剑
   在火绒安全的拓展工具启动火绒剑（或直接启动火绒剑安装版），但不开启监控
   退出火绒安全等安全软件
   
2. 启动ProcessExplorer
   
3. 开启apateDNS
   如果启动失败，需要安装 .Net Framework3.5
   设置DNS响应地址为127.0.0.1
   
   注意：log中第二行表示无法自动设置DNS，需要我们手动设置！
   设置过程：
   右键网上邻居 -> 属性 -> 右键本地连接 -> 属性
   
   双击Internet 协议 (TCP/IP)
   选择使用下面的 DNS 服务器地址，将首选 DNS 服务器填上 127.0.0.1，点击确定
   
4. 启动nc，监视本地80(HTTP)，443(HTTPS)端口
   nc -l -p 443
nc -l -p 80

---

执行恶意文件

1. 开启火绒剑的监控
2. 执行实验文件

---

分析恶意行为

1. 在ProcessExplorer中，选中恶意文件进程，然后点击视图 -> 下排窗口显示内容 -> 句柄
   
   发现其创建了一个名为 WinVMX32 的互斥量
   
   点击视图 -> 下排窗口显示内容 -> 动态链接库
   发现其导入了ws2_32.dll等，表明它具有联网功能
   
2. 查看apateDNS，发现它在不断发起请求
   
3. 查看cmd命令行
   
4. 查看火绒剑
   在火绒剑的 过滤 -> 进程过滤
   
   得到如下结果
   
   过滤 -> 动作过滤，只选中这两项
   
   只剩下两条
   
   第一条在该路径下写入文件
   
   第二条设置注册表键值
   
   将路径复制下来，然后点击火绒剑窗口右上方的右箭头，直到显出注册表，然后点击
   在地址栏将复制的路径粘贴并回车
   
   发现该表项的值被设为了写入的文件的路径，推测是要设置开机自启

---

总结

1. 这个恶意代码在主机上感染迹象的特征是什么？
   创建 vmx32to64.exe 文件
   创建注册表键值
2. 网络特征码？
   向www.practicalmalwareanalysis.com发送数据，具体可使用 WireShark 等软件抓包分析

---

最后直接恢复快照吧，或者尝试下手动杀毒，或者直接使用安全软件杀毒