20145326蔡馨熤《計算機病毒》——動態分析（1）

20145326蔡馨熤《計算機病毒》——動態分析（1）

基於樣例代碼lab03-01.exe

• 找出這個惡意代碼的導入函數和字符串列表。

• 說到導入函數，固然先想到靜態分析裏面的Dependency Walker工具。

• 不過，把惡意代碼導入Dependency Walker工具的時候，感受應該加了殼。因此用PEiD進行查殼。

• 再用脫殼工具進行脫殼，發現居然脫殼失敗。

• 再利用PEview查看，發現最開始都是亂碼，看來的確加了殼。不過咱們依舊能夠看到有一些路徑信息、還有一個網址、一個exe程序名（多是寫入的惡意程序）、註冊表自啓動項鍵值。因此在以後的分析中應該重點關注網絡鏈接和下載、註冊表更改、新程序的寫入等操做。

• 利用Process Monitor分析
• 因爲這個工具項目過多，因此咱們應該進行過濾操做。好比指定相應的操做和進程名。

• 我發現惡意代碼在系統中寫入了一個新程序叫作vmx32to64.exe，這個新的可執行程序的長度爲7168。與Lab03-01.exe程序自己長度是一致的。

• 它將本身複製到了system32文件夾下。而後再看寫入的註冊表值。顯示對註冊表鍵值的更改爲功。雙擊查看詳情。

• 這是Lab03-01.exe點開後的效果。

• 使用Process Explorer分析，咱們在進程欄中發現了Lab03-01.exe。

• 雙擊能夠查看Lab03-01.exe的屬性。

• 查看Lab03-01.exe的DLL庫。

• 判斷這個程序應該是有聯網的操做，咱們對dll進行簽名驗證。

• 查看內存鏡像和硬盤鏡像中可執行文件的字符串列表。

• 經過Regshot快照對比。在運行Lab03-01.exe以前進行一次註冊表快照，運行以後再進行一次。

• 這個惡意代碼在主機上的感染跡象是什麼？

  • 網絡鏈接和下載。
  • 寫入一個新的程序。
  • 註冊表鍵值的更改。
• 這個惡意代碼是否存在一些網絡特徵，若是存在，它們是什麼。
• 因爲分析它有網絡行爲，因而用WireShark抓包。發現這個程序有一個向www.practicalmalwareanalysis.com鏈接的包。

• 與以前使用PEview的分析對比一下。

• 打開註冊表編輯器，觀察後，發現的確產生了變化，這裏忘截圖了。。。

• 在主機中查看被寫入的程序。