20145319 《计算机病毒》静态分析（实践二）

20145319 《计算机病毒》静态分析（实践二）

实践内容

• 在第一次实践中，我们主要的目的还是介绍并且熟悉常用的静态分析软件，而在进行自己的分析之前，我们可以通过网站virscan的扫描，查看其具体信息来对该恶意代码有一个整体的了解
• lab01-01.exe分析结果
• lab01-01.dll分析结果

查看加壳情况

• 在对该恶意代码有了整体的把握之后，我们使用PE ID来查看该恶意代码是否存在加壳的情况

• 

• 

• 我们可以发现，这两个恶意代码通过正常编译器编译的，而不存在加壳等情况，所以我们可以通过Pe exploer（查看入口地址，导入导出表等基本信息）或者pe view（查看其中的具体节信息）来进行进一步的分析

分析编译基本信息

• 如下，通过pe exploer我们就可以看到其中该恶意代码的一些基本信息（以exe文件为例），我们可以看出该文件的魔术字pe32，说明这个恶意代码是个pe文件，入口地址401820h，通过时间日期戳我们可以知道这个恶意代码是在2010.12.19下午四点多编译的
• 

lab01-01.exe的函数信息

• 在分析了基本信息之后，我们进一步对其中的函数信息进行分析，以此来猜测其功能，还是先以lab01-01.exe为例

• 通过pe exploer我们可以查看该文件的导入导出表，点击导入表，我们可以查看到相应的导入dll文件和导入函数信息，我们可以看到，该恶意代码导入了kernel32.dll这个基础的内存操作相关的dll文件，还导入了msvcrt.dll来提供相应c语言的库函数

• 

• 从具体函数上来看，其中creatFileMapping函数，creatFile函数，findNextFile函数，copyFileA函数比较引人注意，我们可以初步猜测，该程序想要找到一个特定的目标文件，并且将其复制到新文件中实现替换

分析两个文件，是否有其他线索帮助搜索

• 具体该恶意代码实现了什么功能，其函数流程是如何调用的，我们之后会使用到更高级的ida软件来进行分析，而现在我们只能通过pe view来查看一下恶意代码中一些细节（例如包含的字符串）来猜测，从该恶意代码包含的字符串并结合之前所看到的函数，我们大概可以猜测，这个代码可能就是将lab01-01.dll重命名为kerne123.dll来和系统文件kernel32.dll进行混淆和替换，因此主机中是否存在文件kerne123.dll是一个你是否被攻击的标志
• 

是否存在基于网络连接的线索

• 在之前的virscan的行为扫描结果中，我们明确可以知道，这个恶意代码是由网络连接行为的
• 通过分析lab01-01.dll的导入表，也可以发现其导入了ws2_32.dll来建立网络套接字
•