恶意代码分析5

准备工具:WireShark,Process explorer,Process monitor


恶意代码分析5_第1张图片
image.png

添加,确定


恶意代码分析5_第2张图片
image.png

虚拟机进行联网,(运行程序)

用PEID(发现其加过壳,输入表里面只有API,说明其是隐藏的)


恶意代码分析5_第3张图片
image.png

查看其字符串列表,用Strings命令(有可能开了后门)

恶意代码分析5_第4张图片
image.png
恶意代码分析5_第5张图片
image.png

Process monitor中只保留注册表与文件的监控;操作 is writeFile+RegSetValue看其在注册表里面写了那些东西;


恶意代码分析5_第6张图片
image.png
恶意代码分析5_第7张图片
image.png
恶意代码分析5_第8张图片
image.png
恶意代码分析5_第9张图片
image.png
恶意代码分析5_第10张图片
image.png

点击这两个-->点ok

恶意代码分析5_第11张图片
image.png

发现其将自身拷贝到System32目录下


恶意代码分析5_第12张图片
image.png

双击看一下:

恶意代码分析5_第13张图片
image.png

发现其本体也是7168

恶意代码分析5_第14张图片
image.png

为了严谨一些,最好验证两个文件的MD5码

下面看RegSetValue


恶意代码分析5_第15张图片
image.png

刚刚在Strings下面已经获知在CurrentVersion Run下面写了一个键值;

恶意代码分析5_第16张图片
image.png

可以双击看一看:(发现其目的就是启动System32下面这个文件)
开机启动之后;此程序也就能自启动


恶意代码分析5_第17张图片
image.png

下面这几个用于随机数的生成


恶意代码分析5_第18张图片
image.png

Process explorer


恶意代码分析5_第19张图片
image.png

看一看Dll:

恶意代码分析5_第20张图片
image.png

发现有两个Dll是和联网相关的
综上:
将自身拷贝到System32下,并且修改注册表,使得自己在开机的时候就能自行启动

下面看WireShark


恶意代码分析5_第21张图片
image.png

ssl为我们所收到的数据包,可以双击看一看

恶意代码分析5_第22张图片
image.png

接受的内容:(256字节),可以对比多个这样的包

恶意代码分析5_第23张图片
image.png

DNS请求:


恶意代码分析5_第24张图片
image.png

总结:
1.使用PEID等工具查看相关可疑API,主要查看其导入表
2.查看其字符串
3.其实可以利用火绒剑查看监控其行为(RegSetValue,Write File)
4.判断其有没有联网开后门:
1)利用Strings查看有没有出现网址
2)利用PEID查看有没有可疑的API,常见的有:
,InternetOpen(InternetOpenurlA);URLDownloadToFileA(下载文件),
WinExec(执行exe)
3)利用WireShark查看有没有DNS
5.其他的一些可疑API总结:
GetWindowsDirectoryA(获取系统目录):很多恶意程序吧自身复制到系统目录下面
FindResourceA,LoadResource对资源操作的API
提高自身权限的几个API(提高自身权限就可以查看一些受到限制的资源)
OpenProcessToken
LookupPrivilegeVakueA
AdjustToTokenPrivileges
6.可疑利用ResourceHacker这个工具查看资源

你可能感兴趣的:(恶意代码分析5)