恶意代码分析实战Lab1-4

Lab1-4

目录

Lab1-4

2.是否有这个文件被加壳或混淆的任何迹象?如果是这样，这些迹象是什么?如果该文件被加壳,请进行脱壳，如果可能的话。

3.这个文件是什么时候被编译的?

​4.有没有任何导入函数能够暗示出这个程序的功能?如果是，是哪些导入函数，它们会告诉你什么?

5.有哪些基于主机或基于网络的迹象，可以被用来确定被这个恶意代码所感染的机器?

6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源，然后抽取资源。从资源中你能发现什么吗?依次分析

 

---

2.是否有这个文件被加壳或混淆的任何迹象?如果是这样，这些迹象是什么?如果该文件被加壳,请进行脱壳，如果可能的话。

利用PEiD发现无壳。

3.这个文件是什么时候被编译的?

4.有没有任何导入函数能够暗示出这个程序的功能?如果是，是哪些导入函数，它们会告诉你什么?

对资源节进行操作：LoadResource、FileResource、SizeofResource

从资源节中加载数据，写一个文件到磁盘上：CreateFile,WriteFile

执行磁盘上的文件：WinExec

将文件写到系统目录：GetWindowsDirectory

获得进程的文件描述符，也是为了操作远程的进程：OpenProcess、GetCurrentProcess

可以运行另一个程序：WinExec

 可以通过令牌的方式确保只运行一个进程在系统中：AdjustTokenPrivileges

可以去查找用户的登录信息等系统敏感信息：LookupPrigilegeValueA

5.有哪些基于主机或基于网络的迹象，可以被用来确定被这个恶意代码所感染的机器?

利用ida来查看

\\system32\\wupdmgr.exe、\\winup.exe的程序

psapi.dll、sfc_os.dll的动态链接库

 好的，我无法判断了。

6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源，然后抽取资源。从资源中你能发现什么吗?
依次分析

 

将文件导入进Resource Hacker中

 

 然后将资源保存成二进制文件进行保存，保存成exe文件

 导入进ida再进行分析

 出现了一个网站www.practicalmalwareanalysis.com