1.找出恶意代码的导入函数与字符串列表
导入函数只有一个ExitProcess,可能被加壳了。字符串存在两个注册表,1个url,还有1个PE文件名
2.这个恶意代码在主机上的感染迹象特征是什么?
3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?
提前启动process monitor(设置过滤WriteFile、RegSetValue)、process expore、Fakenet(用于监控网络)
写了一个文件到C:\WINDOWS\System32\vmx32to64.exe中。并新建注册表项为HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver 值为C:\WINDOWS\system32\vmx32to64.exe
在fakenet中可以看到通过DNS查询www.practicalmalwareanalysis.com。
本机上的感染迹象为C:\WINDOWS\System32\vmx32to64.exe和注册表
网络感染迹象为与www.practicalmalwareanalysis.com的网络流量
1.怎么让恶意代码自动安装?2.安装之后如何让恶意代码运行
导入函数有很多注册表操作,创建新进程,注册服务,http操作
字符串中有一些注册表目录,创建服务的提示
导出函数有install和uninstall函数
在安装Lab03-02.dll之前先运行Regshot,安装之后查看修改的reg
rundll32.exe Lab03-02.exe,installA
查看修改的注册表可知添加了一个IPRIP服务
3.怎么找到恶意代码是在哪个进程下运行
4.procmon工具中设置什么样的过滤器,才能收集到这个恶意代码的信息?
在Process Explorer在Find 查找“Handler or DLL”可以看到svchost.exe的PID为1060下面有Lab03-02.dll,查看程序下面的DLL也能看到病毒dll
查看FakeNet的记录,有一条practicalmalwareanalysis.com的查询DNS记录。同时还有一条practicalmalwareanalysis.com/serve.html的get请求
在process monitor中第一步可以设置PID=1060,path可以设置为contains IPRIP或者是Lab03-02.dll
5.这个恶意代码在主机上感染的迹象特征是什么?
主机上的感染迹象特征为注册表存在IPRIP服务。
6.这个恶意代码是否存在一些有用的网络特征码?
会GET请求serve.html。
1.Process Explorer工具进行监视时,发现了什么?
用IDApro查看导入函数,可以看到很多resource、file相关api。用ResourceHack查看,感觉是一些shellcode.
2.可以找到任何内存修改行为吗?
3.这个恶意代码在主机上的感染迹象特征是什么?
4.这个恶意代码的目的是什么?
程序会一闪而过,process Explore能够看到有启动svchost.exe。并且最后也出现了以恶搞svchost.exe。查看内存string和文件的String,发现已经发生了变化,内存中出现了practicalmalwareanalysis.log和一些键盘的指令,猜测可能是键盘记录器。
用上一步找到的PID来过滤,processmonitor在中可以看到了很多文件操作,同一个目录中存储了键盘记录。
1.当你运行这个文件时,会发生什么
导入表存在Service相关的api,注册表api,文件相关api,http相关api。字符串包含了http://www.practicalmalwareanalysis.com
运行程序以后,程序被删除了。
2.是什么造成了动态分析无法有效实施
运行程序只有一个参数时会执行cmd.exe /c del 文件路径
3.是否有其他方式来运行这个程序
简单分析一下,程序可以有4种参数-in -re -c -cc并且最后一个参数为abcd.
例如:Lab03-04.exe -in abcd就能正常运行
rundll32.exe DLLname, Export arguments.
启动服务可以用
net start ServiceName