惡意代碼動态分析

目錄

• 實驗一
• • 問題
  • 實驗環境
  • 實驗思路
  • 實驗過程
• 實驗二
• • 問題
  • 實驗環境
  • 實驗思路
  • 實驗過程
• 實驗三
• • 問題
  • 實驗環境
  • 思路
  • 實驗過程
• 實驗四
• • 問題
  • 實驗環境
  • 實驗思路
  • 實驗過程

實驗一

使用動态分析技術來分析lab03-01.exe檔案中發現的惡意代碼

問題

找出這個惡意代碼的導入函數和字元串清單

找出代碼在主機上的感染特征

建立一個互斥量，并且複制到systems32下的目錄下，而且還将自己添加到系統資料庫的啟動項中。

找出是否存在一些有用的網絡特征碼，如果存在，它們是什麼？

不斷進行DNS域名解析，并進行廣播，并是** 的資料包，資料包是随機的。

實驗環境

winxp

實驗工具：Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor（用于監控惡意程式産生的影響）,PEID,Wireshark（監控全面監控目标程式對網絡的改變）

實驗檔案：lab03-01.exe

實驗思路

學會基本的動态分析工具的使用方法，監控惡意程式對本地計算機的修改，分析惡意程式的網絡特征

實驗過程

1、用PEID靜态檢測，看到導入函數隻有kernel32的動态連結庫，ExitProcess函數

2、strings程式查字元串，因為加殼有很多不可識别的字元串，看到系統資料庫的路徑和一個網址，

currentVersion\Run實作自啟動的表項

3、啟動wireshark，點選開始，啟動Process Monitor,點選filter,點選篩選條件，點選process name 輸入lab03-01.exe,點選add,ok,打開Process Explorer，全部啟動之後，運作lab03-01.exe,

4、Process Explorer裡面會自動監控到lab03-01.exe，點選view點選lower pane view,點選handles，會列出一些内容，例如mutant互斥量的名字是winvmx32,檢視dlls,檢視動态連結庫，

如果有ws32和wshtcpip這兩個動态連結庫，說明是有聯網操作的，是以可以看出惡意程式建立了一些互斥量并且有聯網操作，關掉Process Explorer

5、檢視Process Monitor，設定filter,選擇operation,選擇writefiles,點選add.選擇operation,選擇regsetvaule,點選add.在篩選結果中的系統資料庫位置，用cmd檢視這個系統資料庫，可以看到建立了videodriver鍵值，或者輕按兩下篩選到的結果，可檢視更詳細的資訊，看到路徑system32,

Wireshark檢視dns,可以看到網址，可輕按兩下進入檢視詳細，可檢視SSL，檢視相應的資料，是随機的字元

實驗二

使用動态分析技術來分析lab03-02.dll檔案中發現的惡意代碼

問題

找出這個惡意代碼的導入函數和字元串清單

找出代碼在主機上的感染特征

建立一個互斥量，并且複制到systems32下的目錄下，而且還将自己添加到系統資料庫的啟動項中。

找出是否存在一些有用的網絡特征碼，如果存在，它們是什麼？

不斷進行DNS域名解析，并進行廣播，并是** 的資料包，資料包是随機的。

實驗環境

作業系統：winxp

實驗工具：Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor（用于監控惡意程式産生的影響）,PEID,Wireshark（監控全面監控目标程式對網絡的改變）,Regshot(對系統資料庫在運作病毒前後進行快照進行比對，發現軟體對系統資料庫進行哪些操作)

實驗檔案：lab03-02.dll

實驗思路

靜态分析dll中的特征資訊，安裝dll動态連結庫中的惡意代碼，監控并分析惡意程式的特征

實驗過程

1、用PEID靜态檢測，檢視導出表，有service,和installA（進行自身安裝），導入表（Reg，service,ws2_32有聯網操作，interner,http，執行聯網）

2、strings程式查字元串，可看到reg,system32,svehost(數組程式，幫助dll運作)，網址（病毒連接配接網站進行操作）

3、rundll32.exe（系統自帶的），用來安裝dll

指令：rundll32.exe dll檔案的路徑（如c:\lab03-02.dll）,installA,先不運作，打開Regshot，點選1st shot,回車運作，打開Process Explorer，看清單中是否有rundll32.exe，如果沒有說明已經運作完畢，再點選2nd rhost,點選比對，檢視報告，看到iprip，valueadd下有imagepath有svchost，

4、在cmd中輸入net start IPRIP,先不按回車，先打開Wireshark,Process Explorer,process Monitor,點選Wireshark的start,在cmd中點選回車，dll檔案是不會顯示在程序，用Process Explorer的find輸入lab03-02.dll檢視dll附着在哪個程式上、在程序表中找到該程序，點選檢視有相應dll檔案，在process Monitor打開filter檢視PID，輸入980.點選add,ok，列出dll程式産生的影響

5、用Wireshark檢視DNS，http檢視有get請求，useragent,

實驗三

在一個安全的環境中執行lab03_03.exe檔案中發現的惡意代碼，同時使用基礎的動态分析工具監視他的行為

問題

1、使用Process Explorer監視的時候注意到什麼

2、可以找出記憶體修改行為嗎

3、惡意代碼在主機上的感染特征？

4、這惡意代碼的目的是？

實驗環境

作業系統winxp

實驗工具Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor（用于監控惡意程式産生的影響）

實驗檔案lab03_03.exe

思路

觀察惡意程式建立出的程序，分析正常與惡意程式程序的不同，監控并分析惡意程式的特征

實驗過程

打開兩個軟體，輕按兩下lab03_03.exe，可以看到Process Explorer産生了svchost.exe，是一個孤兒程序，（沒有父程序），右鍵svchost.exe選擇屬性，檢視strings有image（磁盤映像），和memory（記憶體映像）.在memory下的有鍵盤按鍵和log檔案，在image下沒有，确定惡意程式是鍵盤記錄程式，檢視svchost的PID是1640，在process Monitor中filter add pID為1640,

桌面建立txt，在process Monitor的operation中add createfile和writefile，檢視有哪些操作，有很多log檔案，記錄了鍵盤操作。

實驗四

同時使用基礎的動态分析工具分析lab03_04.exe檔案中發現的惡意代碼

問題

1、當你運作這個檔案時，會發生什麼

2、是什麼原因造成動态分析無法正常實施

3是否有其他方式運作這個程式

實驗環境

作業系統：winxp

實驗工具Process Explorer(用于監控惡意程式進行的操作),strings,process Monitor（用于監控惡意程式産生的影響），PEID，strings,

實驗檔案lab03_04.exe

實驗思路

靜态分析惡意程式的基本資訊，監控并分析惡意程式的特征

實驗過程

用PEID檢視，出現service,createfile,ws2_32,使用strings檢視-cc,-re,-in，這是指令參數，system32路徑，http，用process explore,輕按兩下lab03_04.exe，但是桌面上的lab03_04.exe消失，說明程式會删除自身，process中沒有變化。process Monitor中filter中輸入process name.lab03_04.exe,add，再運作程式，可以看到process Monitor中出現的程序監控中輕按兩下，可以看到有del操作。

用其他方式運作程式，輸入lab03_04.exe -in,檢視C槽的lab03_04.exe，已經被删除，說明程式無法正常安裝，後續在逆向的時候進行分析