20145319 《计算机病毒》静态分析(实践二)
20145319 《计算机病毒》静态分析(实践二)
实践内容
- 在第一次实践中,我们主要的目的还是介绍并且熟悉常用的静态分析软件,而在进行自己的分析之前,我们可以通过网站virscan的扫描,查看其具体信息来对该恶意代码有一个整体的了解
- lab01-01.exe分析结果
- lab01-01.dll分析结果
查看加壳情况
-
在对该恶意代码有了整体的把握之后,我们使用PE ID来查看该恶意代码是否存在加壳的情况
-
我们可以发现,这两个恶意代码通过正常编译器编译的,而不存在加壳等情况,所以我们可以通过
Pe exploer
(查看入口地址,导入导出表等基本信息)或者pe view
(查看其中的具体节信息)来进行进一步的分析
分析编译基本信息
- 如下,通过
pe exploer
我们就可以看到其中该恶意代码的一些基本信息(以exe文件为例),我们可以看出该文件的魔术字pe32,说明这个恶意代码是个pe文件,入口地址401820h,通过时间日期戳我们可以知道这个恶意代码是在2010.12.19下午四点多编译的
lab01-01.exe的函数信息
-
在分析了基本信息之后,我们进一步对其中的函数信息进行分析,以此来猜测其功能,还是先以lab01-01.exe为例
-
通过pe exploer我们可以查看该文件的导入导出表,点击导入表,我们可以查看到相应的导入dll文件和导入函数信息,我们可以看到,该恶意代码导入了
kernel32.dll
这个基础的内存操作相关的dll文件,还导入了msvcrt.dll
来提供相应c语言的库函数 -
从具体函数上来看,其中
creatFileMapping函数
,creatFile函数
,findNextFile函数
,copyFileA函数
比较引人注意,我们可以初步猜测,该程序想要找到一个特定的目标文件,并且将其复制到新文件中实现替换
分析两个文件,是否有其他线索帮助搜索
- 具体该恶意代码实现了什么功能,其函数流程是如何调用的,我们之后会使用到更高级的ida软件来进行分析,而现在我们只能通过
pe view
来查看一下恶意代码中一些细节(例如包含的字符串)来猜测,从该恶意代码包含的字符串并结合之前所看到的函数,我们大概可以猜测,这个代码可能就是将lab01-01.dll重命名为kerne123.dll来和系统文件kernel32.dll进行混淆和替换,因此主机中是否存在文件kerne123.dll是一个你是否被攻击的标志
是否存在基于网络连接的线索
- 在之前的virscan的行为扫描结果中,我们明确可以知道,这个恶意代码是由网络连接行为的
- 通过分析
lab01-01.dll
的导入表,也可以发现其导入了ws2_32.dll
来建立网络套接字
posted on 2017-06-07 23:33 20145319钟轲 阅读(291) 评论(0) 编辑 收藏 举报