初步動态分析
1.靜态分析确定的線索
Lab01-01.dll
kerne132.dll
2.動态分析對上述線索的驗證分析過程
Ⅰ.基礎動态分析
①Process Explorer
沒有子程序
②Process Monitor
規則設定
根據應用程式全名,隻要尋找其TCP連接配接,打開檔案,讀檔案,寫檔案,建立程序的資訊
建立了程序,應該就是主程序
有讀檔案的過程,可pf檔案是預讀檔案,可以加快程式的加載速度,沒有什麼和網絡連接配接的内容
有一系列的打開檔案但都是系統本身的檔案
沒有找到寫檔案和TCP連接配接,說明沒有連接配接外部的惡意網址,也沒有寫什麼惡意資訊
pf檔案就在對應的路徑下,windows檢測無毒
③wireshark抓包
ip.addr == 127.26.152.13 or ip.src == 127.26.152.131
始終沒有通信包
④尋找蛛絲馬迹(沒找到)
靜态分析中找到的線索在XP中完全找不到
快照前後兩次的哈希值沒有變化
Ⅱ.對Lab01-01.dll的研究
從網上找來的檔案,感覺是配套用的
①字元串
Strings v2.53 - Search for ANSI and Unicode strings in binary images.
Copyright (C) 1999-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
!This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.data
.reloc
SUV
h8`
fj
h8`
L$xQh
h(`
RVf
D$"
-(
j
IQh `
~
|$4
D$$
L$4PQj
D$\D
_^]
u?h
f
%d`
Y^j
=X`
WVS
WVS
NWVS
u7WPS
u&WVS
WVS
_^[]
%
CloseHandle
Sleep
CreateProcessA
CreateMutexA
OpenMutexA
KERNEL32.dll
WS2_32.dll
strncmp
MSVCRT.dll
free
_initterm
malloc
_adjust_fdiv
exec
sleep
hello
127.26.152.13
SADFHUHF
/0I0[0h0p0
141G1[1l1
1Y2a2g2r2
3!3}3
②在虛拟機中通路其中的IP位址
可以ping通,但通路不了,可能是個本地回環位址
③查詢改IP的域名
找不到域名
④檢視導出表
導出表為全空,一個dll檔案竟然沒有導出表,感覺别的程式也用不了啊,太離譜了呀
⑤在olldbg中分析
在olldbg中根本沒有127.26.152.13這個IP,也沒有看到什麼正常的檔案名,隻找到了這個Lab01-0.10026028
搜不到
3.動态分析的結論
按優先級排序
結論1:這不是個惡意軟體
結論2:缺少
Lab01-01.dll
的必要資訊,導緻複制内容的關鍵一步無法執行
結論3:
Lab01-01.dll
本身是錯誤的,無用的,需要修改(比如說導出表)
4.動态分析中尚不能确定,有待進一步分析的内容
- 此程式到底有沒有惡意
- 此程式有沒有什麼隐蔽的子程序
- 此程式需不需要聯網(無網絡時不報錯)
- 此程式究竟使用何種方式拷貝
Lab01-01.dll