恶意代码分析实战(开坑) LAB1[含实验链接]
恶意代码分析实战-实验
lab1-1
网站报告分析
pe工具使用分析时间
使用petools工具查看
查壳分析
利用PEID工具查看
调用的函数分析
lab1.exe调用了FindFirstFile``FindNextFile``CopyFile
很有可能病毒在搜索并且尝试复制文件。
查看dll文件,此处调用了CreateProcess``Sleep函数,可能会创建新的进程并且调用了WS2_32.dll存在联网功能。
痕迹
可能存在替换kernel.dll文件行为
存在ip,sleep等函数极有可能休眠后门连接远程
lab1-2
网站分析
查壳分析
可能存在upx壳
误打误撞的让我调到了脱壳的地方有点迷。。手动脱的因为工具大家都有。。
记录一下od遇到的问题
- 第一个问题就是winxp下od死循环在ntdll.dll中的ntdll.NtRaiseException 异常 --kernel32.dll(解决更换几种od版本)
基本打开就能跳过前面的壳到达程序主中心然后利用工具dump下来就可以了。
启用的服务
CreateServiceA``CreateServiceA``InternetOpenW``InternetOpenUrlW可以启动一个服务和一个链接
字符串查找
存在几个服务和加载可能是创建服务链接网络。
lab1-3
网站分析这里就不放出来了
查壳分析
加了fsg壳(尝试脱壳
说在这之前
因为本机用的环境是xp可能因为各种原因导致我换了好几个版本的od,最后终于找到一个可以用插件有没有报错的好版本了。。(需要的可以留邮箱)
一下是脱壳后的照片
字符串分析
做这个分析的前提就是要先进行了脱壳,可以发现存在一个网址可能是进行了网络感染。
因为一个lab中多是重复所以第四个lab就不细说了