任务详情
以静态分析为基础,对相应代码进行初步动态分析,要求体现出:
1.静态分析确定的线索
2.动态分析对上述线索的验证分析过程
3.动态分析的结论
4.动态分析中尚不能确定,有待进一步分析的内容
A&2组:lab01-01.exe
3&4组:lab07-03.exe
5&6组:lab01-02.exe
7&8组:lab07-01.exe
9&10组:lab03-04.exe
J&Q组:lab09-01.exe
K&小王、大王组:lab03-03.exe
1.静态分析确定的线索
(1)用stud_PE查看该程序的API函数:
可以看到CreateServiceA和InternetOpenA最具有代表性,从这儿我可以了解到这个病毒需要创建一个服务以及联网使用的一些信息。
(2)然后我用strings工具分析看到出现一个网站:www.malwareanalysisbook.com ,并且能够看到IE8.0
至此我猜测:这个病毒的作用可能是创建一个可以联网的服务访问到这个网站,同时获得某些文件夹的属性去执行病毒的功能,比如从这个网站获取
某些文件,实现互联。
2.动态分析对上述线索的验证分析过程
(1)打开Process Explorer和Process Monitor,然后再执行Lab01-02.exe这个程序
(2)根据Lab01-02.exe的PID 784然后在Process Monite中筛选PID就可以查看这个程序干了些啥:
(3)可以看到一些CreatFile、FileSystemControl等操作,但是并没有看到关于网络的一些活动。
(4)我在TCPView上也没有看到网络活动
3.动态分析的结论
初步分析得出的结论:我认为这个病毒执行的时候,在我的本机创建了一个可以联网的服务,去不断的访问www.malwareanalysisbook.com这个网站,
同时在Process Monitor中我发现病毒还在当中创建了文件以及赋予了一些权限,我猜测可能是从网站传过来什么东西保存在这里,这也是我没弄懂的地方。
4.动态分析中尚不能确定,有待进一步分析的内容
通过Process Monitor只查看网络活动,发现是空的,那么我没弄懂的地方就是:是否是因为没有连上这个网站而导致没有网络活动,从而没有知晓这个网站到底
对我的主机产生了什么影响,是否是没有IE8.0从而造成了影响,这是我不太确定的地方。
