目錄
- 實驗一
-
- 問題
- 實驗環境
- 實驗思路
- 實驗過程
- 實驗二
-
- 問題
- 實驗環境
- 實驗思路
- 實驗過程
- 實驗三
-
- 問題
- 實驗環境
- 思路
- 實驗過程
- 實驗四
-
- 問題
- 實驗環境
- 實驗思路
- 實驗過程
實驗一
使用動态分析技術來分析lab03-01.exe檔案中發現的惡意代碼
問題
找出這個惡意代碼的導入函數和字元串清單
找出代碼在主機上的感染特征
建立一個互斥量,并且複制到systems32下的目錄下,而且還将自己添加到系統資料庫的啟動項中。
找出是否存在一些有用的網絡特征碼,如果存在,它們是什麼?
不斷進行DNS域名解析,并進行廣播,并是** 的資料包,資料包是随機的。
實驗環境
winxp
實驗工具:Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor(用于監控惡意程式産生的影響),PEID,Wireshark(監控全面監控目标程式對網絡的改變)
實驗檔案:lab03-01.exe
實驗思路
學會基本的動态分析工具的使用方法,監控惡意程式對本地計算機的修改,分析惡意程式的網絡特征
實驗過程
1、用PEID靜态檢測,看到導入函數隻有kernel32的動态連結庫,ExitProcess函數
2、strings程式查字元串,因為加殼有很多不可識别的字元串,看到系統資料庫的路徑和一個網址,
currentVersion\Run實作自啟動的表項
3、啟動wireshark,點選開始,啟動Process Monitor,點選filter,點選篩選條件,點選process name 輸入lab03-01.exe,點選add,ok,打開Process Explorer,全部啟動之後,運作lab03-01.exe,
4、Process Explorer裡面會自動監控到lab03-01.exe,點選view點選lower pane view,點選handles,會列出一些内容,例如mutant互斥量的名字是winvmx32,檢視dlls,檢視動态連結庫,
如果有ws32和wshtcpip這兩個動态連結庫,說明是有聯網操作的,是以可以看出惡意程式建立了一些互斥量并且有聯網操作,關掉Process Explorer
5、檢視Process Monitor,設定filter,選擇operation,選擇writefiles,點選add.選擇operation,選擇regsetvaule,點選add.在篩選結果中的系統資料庫位置,用cmd檢視這個系統資料庫,可以看到建立了videodriver鍵值,或者輕按兩下篩選到的結果,可檢視更詳細的資訊,看到路徑system32,
Wireshark檢視dns,可以看到網址,可輕按兩下進入檢視詳細,可檢視SSL,檢視相應的資料,是随機的字元
實驗二
使用動态分析技術來分析lab03-02.dll檔案中發現的惡意代碼
問題
找出這個惡意代碼的導入函數和字元串清單
找出代碼在主機上的感染特征
建立一個互斥量,并且複制到systems32下的目錄下,而且還将自己添加到系統資料庫的啟動項中。
找出是否存在一些有用的網絡特征碼,如果存在,它們是什麼?
不斷進行DNS域名解析,并進行廣播,并是** 的資料包,資料包是随機的。
實驗環境
作業系統:winxp
實驗工具:Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor(用于監控惡意程式産生的影響),PEID,Wireshark(監控全面監控目标程式對網絡的改變),Regshot(對系統資料庫在運作病毒前後進行快照進行比對,發現軟體對系統資料庫進行哪些操作)
實驗檔案:lab03-02.dll
實驗思路
靜态分析dll中的特征資訊,安裝dll動态連結庫中的惡意代碼,監控并分析惡意程式的特征
實驗過程
1、用PEID靜态檢測,檢視導出表,有service,和installA(進行自身安裝),導入表(Reg,service,ws2_32有聯網操作,interner,http,執行聯網)
2、strings程式查字元串,可看到reg,system32,svehost(數組程式,幫助dll運作),網址(病毒連接配接網站進行操作)
3、rundll32.exe(系統自帶的),用來安裝dll
指令:rundll32.exe dll檔案的路徑(如c:\lab03-02.dll),installA,先不運作,打開Regshot,點選1st shot,回車運作,打開Process Explorer,看清單中是否有rundll32.exe,如果沒有說明已經運作完畢,再點選2nd rhost,點選比對,檢視報告,看到iprip,valueadd下有imagepath有svchost,
4、在cmd中輸入net start IPRIP,先不按回車,先打開Wireshark,Process Explorer,process Monitor,點選Wireshark的start,在cmd中點選回車,dll檔案是不會顯示在程序,用Process Explorer的find輸入lab03-02.dll檢視dll附着在哪個程式上、在程序表中找到該程序,點選檢視有相應dll檔案,在process Monitor打開filter檢視PID,輸入980.點選add,ok,列出dll程式産生的影響
5、用Wireshark檢視DNS,http檢視有get請求,useragent,
實驗三
在一個安全的環境中執行lab03_03.exe檔案中發現的惡意代碼,同時使用基礎的動态分析工具監視他的行為
問題
1、使用Process Explorer監視的時候注意到什麼
2、可以找出記憶體修改行為嗎
3、惡意代碼在主機上的感染特征?
4、這惡意代碼的目的是?
實驗環境
作業系統winxp
實驗工具Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor(用于監控惡意程式産生的影響)
實驗檔案lab03_03.exe
思路
觀察惡意程式建立出的程序,分析正常與惡意程式程序的不同,監控并分析惡意程式的特征
實驗過程
打開兩個軟體,輕按兩下lab03_03.exe,可以看到Process Explorer産生了svchost.exe,是一個孤兒程序,(沒有父程序),右鍵svchost.exe選擇屬性,檢視strings有image(磁盤映像),和memory(記憶體映像).在memory下的有鍵盤按鍵和log檔案,在image下沒有,确定惡意程式是鍵盤記錄程式,檢視svchost的PID是1640,在process Monitor中filter add pID為1640,
桌面建立txt,在process Monitor的operation中add createfile和writefile,檢視有哪些操作,有很多log檔案,記錄了鍵盤操作。
實驗四
同時使用基礎的動态分析工具分析lab03_04.exe檔案中發現的惡意代碼
問題
1、當你運作這個檔案時,會發生什麼
2、是什麼原因造成動态分析無法正常實施
3是否有其他方式運作這個程式
實驗環境
作業系統:winxp
實驗工具Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor(用于監控惡意程式産生的影響),PEID,strings,
實驗檔案lab03_04.exe
實驗思路
靜态分析惡意程式的基本資訊,監控并分析惡意程式的特征
實驗過程
用PEID檢視,出現service,createfile,ws2_32,使用strings檢視-cc,-re,-in,這是指令參數,system32路徑,http,用process explore,輕按兩下lab03_04.exe,但是桌面上的lab03_04.exe消失,說明程式會删除自身,process中沒有變化。process Monitor中filter中輸入process name.lab03_04.exe,add,再運作程式,可以看到process Monitor中出現的程序監控中輕按兩下,可以看到有del操作。
用其他方式運作程式,輸入lab03_04.exe -in,檢視C槽的lab03_04.exe,已經被删除,說明程式無法正常安裝,後續在逆向的時候進行分析