1.找出恶意代码的导入函数与字符串列表 导入函数只有一个ExitProcess,可能被加壳了。字符串存在两个注册表,1个url,还有1个PE文件名 2.这个恶意代码在主机上的感染迹象特征是什么? 3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么? 提前启动process monitor(设置过滤WriteFile、RegSetValue)、process expore、Fakenet(用于监控网络) 写了一个文件到C:\WINDOWS\System32\vmx32to64.exe中。并新建注册表项为HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver 值为C:\WINDOWS\system32\vmx32to64.exe 在fakenet中可以看到通过DNS查询www.practicalmalwareanalysis.com。 本机上的感染迹象为C:\WINDOWS\System32\vmx32to64.exe和注册表 网络感染迹象为与www.practicalmalwareanalysis.com的网络流量
1.怎么让恶意代码自动安装?2.安装之后如何让恶意代码运行 导入函数有很多注册表操作,创建新进程,注册服务,http操作 字符串中有一些注册表目录,创建服务的提示 导出函数有install和uninstall函数 在安装Lab03-02.dll之前先运行Regshot,安装之后查看修改的reg
rundll32.exe Lab03-02.exe,installA
查看修改的注册表可知添加了一个IPRIP服务 3.怎么找到恶意代码是在哪个进程下运行 4.procmon工具中设置什么样的过滤器,才能收集到这个恶意代码的信息? 在Process Explorer在Find 查找“Handler or DLL”可以看到svchost.exe的PID为1060下面有Lab03-02.dll,查看程序下面的DLL也能看到病毒dll 查看FakeNet的记录,有一条practicalmalwareanalysis.com的查询DNS记录。同时还有一条practicalmalwareanalysis.com/serve.html的get请求 在process monitor中第一步可以设置PID=1060,path可以设置为contains IPRIP或者是Lab03-02.dll
5.这个恶意代码在主机上感染的迹象特征是什么? 主机上的感染迹象特征为注册表存在IPRIP服务。 6.这个恶意代码是否存在一些有用的网络特征码? 会GET请求serve.html。
1.Process Explorer工具进行监视时,发现了什么? 用IDApro查看导入函数,可以看到很多resource、file相关api。用ResourceHack查看,感觉是一些shellcode. 2.可以找到任何内存修改行为吗? 3.这个恶意代码在主机上的感染迹象特征是什么? 4.这个恶意代码的目的是什么? 程序会一闪而过,process Explore能够看到有启动svchost.exe。并且最后也出现了以恶搞svchost.exe。查看内存string和文件的String,发现已经发生了变化,内存中出现了practicalmalwareanalysis.log和一些键盘的指令,猜测可能是键盘记录器。 用上一步找到的PID来过滤,processmonitor在中可以看到了很多文件操作,同一个目录中存储了键盘记录。
1.当你运行这个文件时,会发生什么 导入表存在Service相关的api,注册表api,文件相关api,http相关api。字符串包含了http://www.practicalmalwareanalysis.com 运行程序以后,程序被删除了。 2.是什么造成了动态分析无法有效实施 运行程序只有一个参数时会执行cmd.exe /c del 文件路径 3.是否有其他方式来运行这个程序 简单分析一下,程序可以有4种参数-in -re -c -cc并且最后一个参数为abcd. 例如:Lab03-04.exe -in abcd就能正常运行
rundll32.exe DLLname, Export arguments. 启动服务可以用 net start ServiceName