20145319 《计算机病毒》静态分析1-2(实践三)
实验内容
- 在进行详细分析之前,我们依旧还是通过网站的扫描对其整体上有一个把握
- lab01-02.exe分析结果
查看加壳情况
-
每次分析恶意代码之前,我们都需要分析该恶意代码是否加了壳,以此来决定之后的分析方向以及分析手段
-
使用PE ID打开我们的目标程序,与想象中的不同,PE ID显示扫描无结果
-
-
这时候我们通常有两种方法来解决,一种是尝试更深度的扫描,一种是查看其中的详细信息,看是否能找到我们想要的结果(下图分别为深度扫描结果和详细信息)
-
-
查看函数状况
-
根据查壳状态来看,该恶意程序附加了一个upx的壳,使用脱壳软件将其脱壳之后,我们在来查看其中的函数情况(脱壳软件很多,可以使用freeUpx,也可以使用WSUNPACKER)
-
使用Dependency Walker查看脱壳后的程序函数依赖关系
-
-
其中
openSCManager函数和createServeA函数表明了该恶意代码会建立同服务控制管理器的链接,并建立服务,可能是想通过将自身创建成服务来实现进程隐藏。
被感染主机上的线索
- 我们可以进一步查看该恶意代码中的字符串信息(可以使用pe view,不过我这里使用了Strings直接将其中的字符串打印出来,效果更直观)
- 暂时我只列出所有字符串信息中的一部分,其中两个地方比较引人注意,一个是Malservice,之前在分析函数信息时,我们曾看到过其中包含了有关创建服务,同服务控制管理器建立连接的函数,我们可以猜想,这个malservice是不是与新建的服务有关。
- 第二部分比较引人注意的就是其中的网址,通过监视计算机的网络连接状况,应该也能大概判断出,该计算机是否被攻击
