实验一
使用动态分析技术来分析lab03-01.exe文件中发现的恶意代码
问题
找出这个恶意代码的导入函数和字符串列表
找出代码在主机上的感染特征
创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项中。
找出是否存在一些有用的网络特征码,如果存在,它们是什么?
不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。
实验环境
winxp
实验工具:Process Explorer(用于监控恶意程序进行的操作),strings,process Monitor(用于监控恶意程序产生的影响),PEID,Wireshark(监控全面监控目标程序对网络的改变)
实验文件:lab03-01.exe
实验思路
学会基本的动态分析工具的使用方法,监控恶意程序对本地计算机的修改,分析恶意程序的网络特征
实验过程
1、用PEID静态检测,看到导入函数只有kernel32的动态链接库,ExitProcess函数
2、strings程序查字符串,因为加壳有很多不可识别的字符串,看到注册表的路径和一个网址,
currentVersion\Run实现自启动的表项
3、启动wireshark,点击开始,启动Process Monitor,点击filter,点击筛选条件,点击process name 输入lab03-01.exe,点击add,ok,打开Process Explorer,全部启动之后,运行lab03-01.exe,
4、Process Explorer里面会自动监控到lab03-01.exe,点击view点击lower pane view,点击handles,会列出一些内容,例如mutant互斥量的名字是winvmx32,查看dlls,查看动态链接库,
如果有ws32和wshtcpip这两个动态链接库,说明是有联网操作的,所以可以看出恶意程序创建了一些互斥量并且有联网操作,关掉Process Explorer
5、查看Process Monitor,设置filter,选择operation,选择writefiles,点击add.选择operation,选择regsetvaule,点击add.在筛选结果中的注册表位置,用cmd查看这个注册表,可以看到创建了videodriver键值,或者双击筛选到的结果,可查看更详细的信息,看到路径system32,
Wireshark查看dns,可以看到网址,可双击进入查看详细,可查看SSL,查看相应的数据,是随机的字符
实验二
使用动态分析技术来分析lab03-02.dll文件中发现的恶意代码
问题
找出这个恶意代码的导入函数和字符串列表
找出代码在主机上的感染特征
创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项中。
找出是否存在一些有用的网络特征码,如果存在,它们是什么?
不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。
实验环境
操作系统:winxp
实验工具:Process Explorer(用于监控恶意程序进行的操作),strings,process Monitor(用于监控恶意程序产生的影响),PEID,Wireshark(监控全面监控目标程序对网络的改变),Regshot(对注册表在运行病毒前后进行快照进行比对,发现软件对注册表进行哪些操作)
实验文件:lab03-02.dll
实验思路
静态分析dll中的特征信息,安装dll动态链接库中的恶意代码,监控并分析恶意程序的特征
实验过程
1、用PEID静态检测,查看导出表,有service,和installA(进行自身安装),导入表(Reg,service,ws2_32有联网操作,interner,http,执行联网)
2、strings程序查字符串,可看到reg,system32,svehost(数组程序,帮助dll运行),网址(病毒连接网站进行操作)
3、rundll32.exe(系统自带的),用来安装dll
命令:rundll32.exe dll文件的路径(如c:\lab03-02.dll),installA,先不运行,打开Regshot,点击1st shot,回车运行,打开Process Explorer,看列表中是否有rundll32.exe,如果没有说明已经运行完毕,再点击2nd rhost,点击比对,查看报告,看到iprip,valueadd下有imagepath有svchost,
4、在cmd中输入net start IPRIP,先不按回车,先打开Wireshark,Process Explorer,process Monitor,点击Wireshark的start,在cmd中点击回车,dll文件是不会显示在进程,用Process Explorer的find输入lab03-02.dll查看dll附着在哪个程序上、在进程表中找到该进程,点击查看有相应dll文件,在process Monitor打开filter查看PID,输入980.点击add,ok,列出dll程序产生的影响
5、用Wireshark查看DNS,http查看有get请求,useragent,
实验三
在一个安全的环境中执行lab03_03.exe文件中发现的恶意代码,同时使用基础的动态分析工具监视他的行为
问题
1、使用Process Explorer监视的时候注意到什么
2、可以找出内存修改行为吗
3、恶意代码在主机上的感染特征?
4、这恶意代码的目的是?
实验环境
操作系统winxp
实验工具Process Explorer(用于监控恶意程序进行的操作),strings,process Monitor(用于监控恶意程序产生的影响)
实验文件lab03_03.exe
思路
观察恶意程序创建出的进程,分析正常与恶意程序进程的不同,监控并分析恶意程序的特征
实验过程
打开两个软件,双击lab03_03.exe,可以看到Process Explorer产生了svchost.exe,是一个孤儿进程,(没有父进程),右键svchost.exe选择属性,查看strings有image(磁盘映像),和memory(内存映像).在memory下的有键盘按键和log文件,在image下没有,确定恶意程序是键盘记录程序,查看svchost的PID是1640,在process Monitor中filter add pID为1640,
桌面新建txt,在process Monitor的operation中add createfile和writefile,查看有哪些操作,有很多log文件,记录了键盘操作。
实验四
同时使用基础的动态分析工具分析lab03_04.exe文件中发现的恶意代码
问题
1、当你运行这个文件时,会发生什么
2、是什么原因造成动态分析无法正常实施
3是否有其他方式运行这个程序
实验环境
操作系统:winxp
实验工具Process Explorer(用于监控恶意程序进行的操作),strings,process Monitor(用于监控恶意程序产生的影响),PEID,strings,
实验文件lab03_04.exe
实验思路
静态分析恶意程序的基本信息,监控并分析恶意程序的特征
实验过程
用PEID查看,出现service,createfile,ws2_32,使用strings查看-cc,-re,-in,这是命令参数,system32路径,http,用process explore,双击lab03_04.exe,但是桌面上的lab03_04.exe消失,说明程序会删除自身,process中没有变化。process Monitor中filter中输入process name.lab03_04.exe,add,再运行程序,可以看到process Monitor中出现的进程监控中双击,可以看到有del操作。
用其他方式运行程序,输入lab03_04.exe -in,查看C盘的lab03_04.exe,已经被删除,说明程序无法正常安装,后续在逆向的时候进行分析