恶意代码分析实战专辑
博主:鴻漸之翼
个人介绍:男,搞底層的FW,喜歡發一點沒用的東西。
项目gitee地址:
https://gitee.com/hongsofwing/PracticalMalwareAnalysis-Labs
访问我的Gitee
问题
1.使用http://www.VirusTotal.com分析并且查看报告。文件是否匹配到已有的反病毒软件特征?
2.文件编译时间
3.文件是否加壳
4.导入函数显示出了恶意代码是做什么的?有哪些导入函数?
5.是否有其他基于主机的文件迹象?
6.是否有网络迹象?
7.恶意文件目的?
Analysis
VirusTotal的使用方法
将Lab01-01.exe文件上传到virustotal
文件目前能够匹配到现有杀毒软件库里的特征码,因为有人上传过此文件。当然如果你是一位“”制毒师“”,经过处理后你的程序也许不会被杀软发现,所以上传不同文件结果各有不同。
这里选择DETAILS
该程序的各种信息已经完全暴露。
3.这个文件没有被加壳或者混淆过的迹象。
使用PEview工具查询程序编译时间
选择IMAGE_NT_HEADERS->IMAGE_FILE_HEADERS->
Time Date Stamp查看,也可以再Virus网站上查看程序编译时间。
我们可以使用Dependcy Walker工具查看导出函数,可以推测该恶意程序的动向,这里选择kernel32.DLL
此程序中有CreatFileW创建文件,MoveFileA移动文件,CreatRemoteThread在一个远程进程process中创建属于自己的远程线程thread等恶意代码函数。
我们使用ResourceHacker工具分析网络迹象,例如程序中有哪些字符,是否又URL等,拿到URL后就可以进行进一步渗透测试。选择顶上栏目action-save *bin resource重新命名保存为exe文件,再把这个exe放入IDA中间进行分析,就能发现恶意代码与其交互的URL了。
http://www.practicalmalwareanalysis.com/updater.exe