实践作业5.2 初步动态分析

具体任务

以静态分析为基础，对相应代码进行初步动态分析，要求体现出：

1.静态分析确定的线索

2.动态分析对上述线索的验证分析过程

3.动态分析的结论

4.动态分析中尚不能确定，有待进一步分析的内容

 

 

详细过程

1.静态分析确定的线索

首先，用Stud_PE打开查看本程序中的函数

 

 

 通过上一次的静态分析，可以知道最主要的两个函数是CreateServiceA和InternetOpenA，我们由此猜测他的功能主要是创建一个服务然后联网使用一些信息。

 

使用strings分析查看结果：

 

 

 

 此时查看不到什么有用的信息，因为我们为对他进行脱壳。将脱壳以后的文件unpacked再用strings分析一遍：

 

 

 此时我们看到一个网站：www.malwareanalysisbook.com 以及Internet Explorer 8.0。我们猜测此文件病毒是创建一个服务去联网访问此网站，然后获得某些文件夹的属性来实现病毒里的功能。

 

2.动态分析对上述线索的验证分析过程

首先打开Process Explorer和Process Monitor这两个动态分析工具，然后打开Lab01-02.exe

 

 然后再在Process Monitor中筛选PID：1292，查看该文件执行后具体的执行内容。 

 

 

3.动态分析的结论

我觉得在执行此病毒文件时，在计算机中创建了一个服务一直访问之前找到的网站www.malwareanalysisbook.com，根据Process Monitor中的信息可以看到病毒还创建了文件且赋予一些操作权限。

 

 

4.动态分析中尚不能确定，有待进一步分析的内容

在我的判断猜测中，此程序是创建了一个能够联网的服务，但在Process Monitor中查看不到网络活动，不知道此程序到底需不需要联网。以及该程序创建文件赋予的权限具体是什么。