Lab03-04
问题及分析:
问题1
当你运行这个文件时,会发生什么呢?
首先静态分析:
使用PEiD查看发现未加壳
使用Dependency Walker
查看:
Advapi32.dll 提供核心Windows组件访问,如服务管理器和注册表
Kernel32.dll 提供系统核心功能,访问和操作内存、文件、硬件等
Shell32.dll 是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文 件名的设置等大量功能。
Wsock32.dll 用于联网,或执行网络相关操作
这里面的导入函数有对文件操作的、也有对进程操作的、还有对网络服务进行操作的
下面使用strings.exe
进行分析字符串:
我发现:
- 可疑网站
http://www.practialmalwareanalysis.com
- 可疑指令:
Get CMD UPLOAD SLEEP
- -cc -re -in
通过上面的信息可以推测该程序可能是http后门程序
然后运行该程序
额,双击运行该程序他就删除自身了。
(多次实验,确实是这个很奇怪的亚子)
问题2
是什么原因造成动态分析无法有效实施?
一运行就自身删除,这个无解了,能力有限。
问题3
是否有其它方式来运行这个程序?
如果不让他删除运行的话,我还没有找到方法,难过
关键提示和要求:
这个实验相对比较难,程序会自己删除自身,因此,只需要找到删除的过程即可;
1、静态分析:研究PE文件结构和字符串列表;评估该代码可能的功能;特别注意字符串中,出现可能的命令行参数(例如-cc、-in、-re等)2、动态分析:
由于字符串中暗示该代码可能具有网络功能,因此我们用ApateDNS设置一个虚拟网络。
监测进程运行使用process Explorer和procmon(注意清空事件)。
运行cmd,打开命令窗口。3、准备好后,运行Lab03-04.exe;发现什么现象?
4、提示,文件删除过程通过“C:\WINDOWS\system32\cmd.exe" /c del C:\TY\lab3\Lab03-04.exe >> NUL”完成,请说明如何在Process Monitor中找到这个操作。
5、再次运行Lab03-04.exe,并添加上命令行参数(例如-cc、-in、-re等),观察现象。
实验需要其它技术才能做深入的研究,因此本实验暂时到此结束。
引用
《 Practical Malware Analysis 》 By Michael Sikorski, Andrew Honig · 2012
以及网上前辈的一些作品,由于查阅过多过细,这里就不一一例举。