3.2动态分析基础实验(2)--《恶意代码分析实战》

实验三

Lab03-03.exe

1.当使用 Process Explorer 工具进行监视的时候，注意到了什么？
2.可以找出内存修改的行为吗？
3.这个恶意代码在主机上的感染迹象特征是什么？
4.这个恶意代码的目的是什么？

 

1.运行程序，发现创建了子进程 svchost.exe，主进程 Lab03-03.exe 结束。

2.分析 svchost.exe 映像和内存中字符串的不同

Process Explorer 右键 Properties 属性，对比 String 项中 Image 和 Memeory 两种情况。

parcticalmalwareanalysis.log字符串的存在，加上[ENTER]和[CAPS LOCK]这样的字符串，表明程序可能是一个键盘记录器。

3.通过 Process Monitor 查看进程行为

我们打开一个文本，随便输入信息，在查看 Process Monitor 所记录的 svchost.exe 行为。

发现会写入 parcticalmalwareanalysis.log 文件，打开后发现是记录键盘信息。

恶意代码在 svchost.exe 进程上进行了进程替换，来启动一个击键记录器。

 

---

实验四

Lab03-04.exe

1.运行文件时，发生了什么？
2.什么原因造成了动态分析无效？
3.是否有其他方式来运行这个程序？

1.双击文件后，程序被删除。

2.可能是缺少命令行参数，或者程序缺失部件

分析字符串，发现除了域名、注册表名称外，DOWNLOAD和UPLOAD这样的命令字符串，以及HTTP/1.0等，说明可能是一个HTTP恶意程序。
-cc,-re,-in可能是命令行参数。

 

3.尝试用命令行执行恶意程序。

尝试使用 Lab03-04.exe -in 或 -cc 或 -c 或 -re等执行，均以失败告终，程序还是会删除自身（使用上面字符串的 del 删除的），Process Monitor 中发现 Process Create 操作，命令行就是删除文件的。

第9章的实验会揭示如何执行，刨析这个恶意程序。