计算机病毒实践汇总三:动态分析基础(分析程序)
在嘗試學(xué)習(xí)分析的過程中,判斷結(jié)論不一定準(zhǔn)確,只是一些我自己的思考和探索。敬請(qǐng)批評(píng)指正!
1. 實(shí)踐內(nèi)容
搜索、下載并執(zhí)行Process Monitor,觀察隨著時(shí)間的推移,軟件所記錄信息;設(shè)置監(jiān)控條件對(duì)惡意代碼敏感的功能進(jìn)行監(jiān)控。
搜索、下載并執(zhí)行Process Explorer,查看進(jìn)程列表,選擇相應(yīng)進(jìn)程進(jìn)行簽名驗(yàn)證,對(duì)比其硬盤上的文件和內(nèi)存中的鏡像,結(jié)合Dependency Walker對(duì)其所載入的dll文件進(jìn)行比對(duì)。
搜索、下載并執(zhí)行Regshot,觀察注冊(cè)表的變化情況。
2. 實(shí)踐一:lab03-01.exe
(1)簡(jiǎn)單靜態(tài)分析
使用常用工具查看:
本程序被加殼,只能看到一個(gè)導(dǎo)入函數(shù)。
雖然是加過殼的,但是可以看到比較多的信息:
有一些路徑、一個(gè)網(wǎng)址:可能有聯(lián)網(wǎng)下載的操作
一個(gè)exe程序名:可能是寫入的惡意程序
注冊(cè)表自啟動(dòng)項(xiàng)鍵值:可能程序要把自己寫入自啟動(dòng)項(xiàng)
在之后的分析中應(yīng)該關(guān)注網(wǎng)絡(luò)連接和下載、注冊(cè)表更改、新程序的寫入的操作。
然后就可以開啟監(jiān)視工具并運(yùn)行Lab01-03.exe進(jìn)行簡(jiǎn)單的動(dòng)態(tài)分析了。
(2)使用Process Monitor分析
由于這個(gè)工具監(jiān)視的項(xiàng)目過多,進(jìn)行過濾操作:對(duì)Lab03-01.exe程序?qū)ψ?cè)表鍵值的更改操作、寫文件的操作過濾顯示。
可以看到:
惡意代碼在系統(tǒng)盤下寫入了一個(gè)新程序vmx32to64.exe(就是之前看到的那個(gè)exe字符串),這個(gè)新的可執(zhí)行程序的長(zhǎng)度為7168。實(shí)際上,它與Lab03-01.exe程序本身長(zhǎng)度是一致的:
可以推測(cè)它將自己復(fù)制到了system32文件夾下。
再看過濾出的寫入注冊(cè)表值:
顯示對(duì)注冊(cè)表鍵值的更改成功。雙擊查看詳情:
可以看到寫入的注冊(cè)表自啟動(dòng)項(xiàng)鍵值的數(shù)據(jù),路徑就是剛創(chuàng)建的那個(gè)可執(zhí)行程序。
(3)使用Process Explorer分析
開啟Process Explorer:
可以看到Lab03-01.exe是一個(gè)已經(jīng)運(yùn)行的進(jìn)程。查看這個(gè)進(jìn)程連接的dll:
這個(gè)程序應(yīng)該是有聯(lián)網(wǎng)的操作。對(duì)dll進(jìn)行簽名驗(yàn)證:
查看內(nèi)存鏡像和硬盤鏡像中可執(zhí)行文件的字符串列表(之前驗(yàn)證的是磁盤上的鏡像而不是內(nèi)存中的,通過這樣的比較可以分析代碼是否有做手腳):
(4)Regshot注冊(cè)表的變化情況
在運(yùn)行Lab03-01.exe之前進(jìn)行一次注冊(cè)表快照,運(yùn)行之后在進(jìn)行一次,并進(jìn)行比較:
可以看到顯示注冊(cè)表有一個(gè)值有改變:
鍵值名為VideoDriver,鍵值為C盤下system32中的vmx32to64.exe。
(5)網(wǎng)絡(luò)行為
由于分析它有網(wǎng)絡(luò)行為,所以用wireshark進(jìn)行抓包:
可以看到這個(gè)程序有一個(gè)向www.practicalmalwareanalysis.com連接的包,之后與這個(gè)ip(192.0.78.25)有數(shù)據(jù)傳遞的包。
(6)從主機(jī)上觀察現(xiàn)象
新增加了一個(gè)文件:
修改的注冊(cè)表鍵值:
3. 實(shí)踐二:lab03-02.dll
(1)簡(jiǎn)單靜態(tài)分析
從PEiD中我們可以知道,這個(gè)dll文件是沒有加殼的,并且很可能開啟了一個(gè)服務(wù):
導(dǎo)入函數(shù)顯示它很有可能是網(wǎng)絡(luò)相關(guān)的:
查看這個(gè)dll的導(dǎo)出函數(shù)有五個(gè),而導(dǎo)出名部分看起來應(yīng)該是installA。
(2)運(yùn)行這個(gè)dll程序
借助rundll32.exe工具運(yùn)行起來這個(gè)dll:
查看注冊(cè)表的變化:
可以看到這個(gè)惡意代碼將自身安裝為一個(gè)IPRIP的服務(wù),很有可能是通過svchost.exe程序來運(yùn)行自身的。使用命令行來啟動(dòng)這個(gè)服務(wù):
(3)Process Explorer分析
查找是哪一個(gè)進(jìn)程調(diào)用了Lab03-02.dll:
雙擊關(guān)注這個(gè)進(jìn)程:
發(fā)現(xiàn)svchost.exe進(jìn)程調(diào)用了Lab03-02.dll,可以看到這個(gè)進(jìn)程具有惡意代碼的特征字符串。
在ProcessMonitor中按進(jìn)程PID號(hào)過濾:
可以看到有多項(xiàng)更改:
(4)使用Wireshark分析
Wireshark抓包一開始沒有反應(yīng),過了一會(huì)兒才開始有包出現(xiàn):
可以看到第一個(gè)是一個(gè)DNS解析,網(wǎng)址仍是practicalmalwareanalysis.com,ping一下找到ip進(jìn)行過濾:
4. 實(shí)踐三:lab03-03.exe
(1)簡(jiǎn)單靜態(tài)分析
沒有加殼,編譯器是VC6.0:
在PEview中我們發(fā)現(xiàn)數(shù)據(jù)段有一串exe文件名,是svchost.exe
(2)注冊(cè)表快照
是干擾項(xiàng),注冊(cè)表并沒有被修改:
(3)使用Process Explorer查看
剛一運(yùn)行Lab03-03.exe時(shí):
Lab03-03.exe瞬間變綠變紅:
說明Lab03-03.exe執(zhí)行后自行結(jié)束,遺留下孤兒進(jìn)程:
比較svchost.exe的磁盤鏡像字符串列表和內(nèi)存鏡像字符串列表:
兩者很明顯是更改過的。觀察內(nèi)存中的字符串列表,還可以看到一些信息:
可以通過這個(gè)進(jìn)程的PID過濾ProcessMonitor的選項(xiàng)
(4)使用Process Monitor
可以看到進(jìn)行了寫文件操作:
而點(diǎn)開寫文件的操作,會(huì)發(fā)現(xiàn)會(huì)有連續(xù)的幾次都寫入長(zhǎng)度為1的數(shù)據(jù)。
這些寫文件的操作都是在一個(gè)名為practicalmalwareanalysis.log的文件中,這個(gè)文件是程序新創(chuàng)建的,寫進(jìn)了Lab03-03.exe所在文件夾下:
查看這個(gè)文件:
顯示的信息時(shí)我之前在ProcessMonitor中輸入過濾信息時(shí)的字符,還有一個(gè)誤輸入的“a”也被記錄了下來。判斷這個(gè)惡意代碼用于鍵盤活動(dòng)記錄。
總結(jié)
以上是生活随笔為你收集整理的计算机病毒实践汇总三:动态分析基础(分析程序)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: win10系统电源已接通未充电(win1
- 下一篇: 怎么创建具有真实纹理的CG场景岩石?