惡意代碼分析實戰專輯
部落客:鴻漸之翼
個人介紹:男,搞底層的FW,喜歡發一點沒用的東西。
項目gitee位址:
https://gitee.com/hongsofwing/PracticalMalwareAnalysis-Labs
通路我的Gitee
問題
1.使用http://www.VirusTotal.com分析并且檢視報告。檔案是否比對到已有的反病毒軟體特征?
2.檔案編譯時間
3.檔案是否加殼
4.導入函數顯示出了惡意代碼是做什麼的?有哪些導入函數?
5.是否有其他基于主機的檔案迹象?
6.是否有網絡迹象?
7.惡意檔案目的?
Analysis
VirusTotal的使用方法
将Lab01-01.exe檔案上傳到virustotal
檔案目前能夠比對到現有防毒軟體庫裡的特征碼,因為有人上傳過此檔案。當然如果你是一位“”制毒師“”,經過處理後你的程式也許不會被殺軟發現,是以上傳不同檔案結果各有不同。
這裡選擇DETAILS
該程式的各種資訊已經完全暴露。
3.這個檔案沒有被加殼或者混淆過的迹象。
使用PEview工具查詢程式編譯時間
選擇IMAGE_NT_HEADERS->IMAGE_FILE_HEADERS->
Time Date Stamp檢視,也可以再Virus網站上檢視程式編譯時間。
我們可以使用Dependcy Walker工具檢視導出函數,可以推測該惡意程式的動向,這裡選擇kernel32.DLL
此程式中有CreatFileW建立檔案,MoveFileA移動檔案,CreatRemoteThread在一個遠端程序process中建立屬于自己的遠端線程thread等惡意代碼函數。
我們使用ResourceHacker工具分析網絡迹象,例如程式中有哪些字元,是否又URL等,拿到URL後就可以進行進一步滲透測試。選擇頂上欄目action-save *bin resource重新命名儲存為exe檔案,再把這個exe放入IDA中間進行分析,就能發現惡意代碼與其互動的URL了。
http://www.practicalmalwareanalysis.com/updater.exe