2020-2021 恶意代码 20181230 实践作业5.2 初步动态分析

2020-2021 恶意代码 20181230 实践作业5.2 初步动态分析

目录

• 2020-2021 恶意代码 20181230 实践作业5.2 初步动态分析
  • 实践要求
  • 实践过程
    • 1.静态分析确定的线索
    • 2.动态分析对上述线索的验证分析过程
    • Process Explorer
    • Process Monitor
    • Wireshark抓包
    • 比对运行前后的摘要值
    • 3.动态分析的结论
    • 4.动态分析中尚不能确定，有待进一步分析的内容

实践要求

以静态分析为基础，对相应代码进行初步动态分析，要求体现出：
1.静态分析确定的线索
2.动态分析对上述线索的验证分析过程
3.动态分析的结论
4.动态分析中尚不能确定，有待进一步分析的内容

实践过程

1.静态分析确定的线索

可疑的URL: www.malwareanalysisbook.com及ip184.168.131.241

2.动态分析对上述线索的验证分析过程

Process Explorer

只看到一个进程，Lab01-02-2.exe

Process Monitor

可以看到有读文件，创建可疑文件LAB01-02-2.EXE-38EF1A3E.pf，但经检测无毒。

但是没有发现其他可疑l文件

Wireshark抓包

执行文件抓包，以http协议为条件也一无所获

比对运行前后的摘要值

执行前后哈希值完全一样

3.动态分析的结论

1、这个程序暂时无法根据静态分析达到目的，个人能力有限，还待进一步分析。

2、程序创建了一个LAB01-02-2.EXE-38EF1A3E.pf文件

3.可疑ip地址为外网地址可能导致实验过程出现问题？

4.动态分析中尚不能确定，有待进一步分析的内容

通过查阅资料，了解了该程序的功能，但未能分析出，该程序会利用机器的IE8.0不断访问目标网址。