Lab03-03

问题及分析：

问题1

当你使用Process explorer工具进行监视时，你注意到了什么？

使用PEiD查看发现未加壳

使用Dependency Walker查看，结果如下：

导入函数中：

CreateFileA：可以创建文件

CreateHandle：创建进程

FindSource: 查找资源

FreeEnvironmentStrings:释放环境字符串

Sleep：隐藏自己

还有大量对文件字符的操作

所以估计这个恶意程序应该是对内存里文件做出恶意修改或者删除

下面运行该程序，并用用Process Explorer工具进行监视：

运行很多次之后会发现，Lab03-03.exe会启动svchost.exe，每点一次启动一个svchost.exe

然后仔细观察（把系统cpu和内存调小点，这样运行起来就会慢一点）

会发现Lab03-03.exe创建了一个svchost.exe

然后Lab03-03.exe退出，只留下svchost.exe

我的猜想是恶意代码执行了对svchost.exe文件的替换

问题2

你可以找出任何的内存修改行为吗？

我们用Process Explorer点中那个单独出来的svchost.exe

然后在Image和Memory单选按钮之间切换

会发现这两个明显不一样

然后把Memory中的字符串往下拖会发现

因为practicalmalwareanalysis.log的字符串，还有就是[ENTER]和[SHIFT]

这都是不会在正常的svchost.exe出现的Image

正常的svchost.exe里的Image和Mermory都是相同的。

然后出现了[ENTER]和[CAPS LOCK]这些字符串，这个很可能是个击键记录器

我们随便打开虚拟机界面开一个文本乱敲一下看

然后根据PID来在procmon中创建一个过滤器

我们就可以发现这个程序一直在不断的CreateFile和WriteFile

然后我们找到这个log文件，其实就在可执行程序的同一个目录下

test.txt是我为了测试新建的,然后打开这个log文件，就可以看到记录下来的信息了

注意文中出现的[ENTER],记录了键盘输入的信息，还有该主机打开文件的记录等

问题3

这个恶意代码在主机上的感染迹象特征是什么？

根据上面的分析，迹象就是创建了一个praticalmalwareanalysis.log文件

问题4

这个恶意代码的目的是什么？

通过上面的分析，和上传到VirusTotal网站的信息来推测，该恶意程序可能是一个键盘记录器

关键提示和要求：

1、静态分析，从导入函数中估计恶意程序的功能；

2、启动Process Explorer和procmon工具；注意procmon关闭事件捕获功能；

3、运行Lab03-03.exe时，注意ProcessExplorer状态变化。

4、在ProcessExplorer中，svchost.exe是否是一个孤儿进程？
选择svchost.exe，两次右键点击Properties，出现两个属性窗口，均选择Strings页面。该页面的左下角为Image和Memory两个选项。一个Strings页面选择Image（磁盘镜像），另一个Strings页面选择Memory（内存镜像）；比较两个镜像的不同嗲，注意内存镜像中出现“practicalmalwareanalysis.log”的字样，请问这说明了什么？另外，[ENTER]和[CAPS LOCK]字符串说明程序很可能是击键记录器。

5、配置Procmon，过滤出svchost进程的PID；
打开事件监控；
打开记事本，录入一些信息；
关闭事件监控；
分析捕获的关于svchost进程的信息；

6、打开practicalmalwareanalysis.log；确认该恶意程序的用途。

引用

《 Practical Malware Analysis 》 By Michael Sikorski, Andrew Honig · 2012
以及网上前辈的一些作品，由于查阅过多过细，这里就不一一例举。