恶意代码分析5

准备工具：WireShark,Process explorer,Process monitor

image.png

添加,确定

image.png

虚拟机进行联网,(运行程序)

用PEID(发现其加过壳,输入表里面只有API,说明其是隐藏的)

image.png

查看其字符串列表,用Strings命令(有可能开了后门)

image.png

image.png

Process monitor中只保留注册表与文件的监控；操作 is writeFile+RegSetValue看其在注册表里面写了那些东西;

image.png

image.png

image.png

image.png

image.png

点击这两个-->点ok

image.png

发现其将自身拷贝到System32目录下

image.png

双击看一下：

image.png

发现其本体也是7168

image.png

为了严谨一些,最好验证两个文件的MD5码

下面看RegSetValue

image.png

刚刚在Strings下面已经获知在CurrentVersion Run下面写了一个键值;

image.png

可以双击看一看：(发现其目的就是启动System32下面这个文件)
开机启动之后;此程序也就能自启动

image.png

下面这几个用于随机数的生成

image.png

Process explorer

image.png

看一看Dll:

image.png

发现有两个Dll是和联网相关的
综上：
将自身拷贝到System32下,并且修改注册表,使得自己在开机的时候就能自行启动

下面看WireShark

image.png

ssl为我们所收到的数据包,可以双击看一看

image.png

接受的内容:(256字节),可以对比多个这样的包

image.png

DNS请求:

image.png

总结：
1.使用PEID等工具查看相关可疑API，主要查看其导入表
2.查看其字符串
3.其实可以利用火绒剑查看监控其行为（RegSetValue，Write File）
4.判断其有没有联网开后门：
1）利用Strings查看有没有出现网址
2）利用PEID查看有没有可疑的API，常见的有：
,InternetOpen(InternetOpenurlA);URLDownloadToFileA(下载文件),
WinExec(执行exe)
3)利用WireShark查看有没有DNS
5.其他的一些可疑API总结：
GetWindowsDirectoryA(获取系统目录):很多恶意程序吧自身复制到系统目录下面
FindResourceA,LoadResource对资源操作的API
提高自身权限的几个API(提高自身权限就可以查看一些受到限制的资源)
OpenProcessToken
LookupPrivilegeVakueA
AdjustToTokenPrivileges
6.可疑利用ResourceHacker这个工具查看资源