20145319 《計算機病毒》動態分析lab3-2

20145319 《計算機病毒》動態分析lab3-2(實踐六)

實踐過程

基礎分析

• 拿到惡意代碼時，首先使用PE ID打開，查看其中一些基礎信息以及觀察該惡意代碼是否加殼，來肯定下一步分析方向
• 從結果上來看，該惡意代碼並未加殼，因此咱們能夠進行以前咱們經常使用的一些靜態分析手段，咱們最關心的，則是這個惡意代碼的導入導出表信息，經過分析其中調用的函數，對咱們分析該代碼功能有很大幫助

• 其中導入表函數與咱們以前分析的惡意代碼並沒有太大分別，內存操做相關的kernel32.dll提供c語言庫函數wsvcrt.dll以及網絡鏈接，套接字相關ws2_32.dll等，還有大量註冊表相關函數advapi.dll.所以導出表中尤爲是install相關函數則更引人關注

如何讓該惡意代碼自行安裝

• dll文件沒法直接運行，所以須要經過加載到其餘進程中完成功能，如何安裝此惡意代碼，則與咱們以前看到的導出函數有關，從函數名上來看，最可能的函數就是install和installA(二者在參數的字符集的要求上有所不一樣，功能相同)，咱們能夠大膽猜想，經過運行惡意代碼的該函數，應該就能夠完成代碼安裝

• rundll32.exe dll文件名,函數名

安裝以後如何讓這個惡意代碼運行

• 經過對比註冊表，咱們能夠知道，該惡意代碼新建了一個名爲IPRIP的服務，所以咱們能夠經過運行該服務來運行惡意代碼

怎麼找到該惡意代碼的宿主進程

• dll文件沒法單獨運行，所以只能寄宿在其餘進程中，咱們先經過pe view打開，看是否能查看到信息，能夠看到在可識別的字符串中，提到了一個系統進程scvhost.exe
• 咱們同時運行process exploer等軟件，對進程列表進行監控，點擊find搜尋lab03-02.dll咱們就能夠找到是哪些進程正在調用該dll文件

• 所以咱們就能夠找到，其宿主進程是一個pid爲1352的scvhost.exe

precess moniter工具中設置怎樣的過濾器來蒐集信息

• 經過上一步的結果咱們能夠很清楚的找到該進程的pid，所以咱們想蒐集相關信息只須要限制Pid來查找便可

惡意代碼中網絡鏈接相關的特徵碼

• 在查看導入表的時候，咱們明確看到了其中與套接字相關的dll文件，所以該惡意代碼是確定與網絡鏈接相關的
• 咱們再次經過Pe view來觀察一下其中字符串中是否有相關信息，能夠觀察到其中有一個網址
• 具體信息咱們經過wirshark進行抓包分析

• 經過對dns，以及ip地址的過濾，找到相應數據包進行分析，咱們就能夠知道，在訪問一個serve.html的網頁文件