Lab01-04.exe
문제 및 분석
첫 번째 질문
http://www.virusTotal.com/에 업로드 Lab01-04.exe 파일을 분석하고 보고서를 볼. 파일 안티 바이러스 소프트웨어 DO의 기존 기능에 맞게?
위의 정보는 다음과 같은 기능을 얻을 수 있습니다 :
-
TrojanDownloader 트로이 목마 다운로더
-
Trojan.Heur.RP.E9A4ED 트로이 목마, 천천히 아래로 또는 컴퓨터 네트워크 충돌, 컴퓨터는 등, 느린 실행
분석 가능성이 엔진의 큰 부분은 백도어 트로이 목마 소프트웨어 다운로드를 표시하는 것으로 나타났다
여기에 좀 더 자세한 사항은 다음과 같습니다 :
두 번째 질문
이 파일의 흔적은이 포장 또는 혼란 있습니까? 어떻게 그렇게, 이러한 징후는 무엇인가? 가능하면 포격 여부?
: 첫 번째 PEiD에 의해 감지되지
당신이 여기에서 볼 수 있으며, 더 쉘
그런 다음 정보 PE보기보기 축제를 사용
여기에는 실제 데이터의 크기보다 작은 가상 크기가 정상 상태이고, 정상 부분은, 수 있음을 알 수있는 프로그램이 충전되어 있지 않다고 판정
세 번째 질문
이 파일은 컴파일 할 때?
그런 사실은 우리에게 한 virustotal
타임 스탬프 2019 : 08 : 30 23 : 26 : 59 + 01 : 00
우리는 또한 수 있습니다 Dependency Walker
값도 볼 만
넷째 요청
이 프로그램의 기능을 암시 수있는 가져 오기 기능이 없다? 이 경우, 가져 오기 기능이 무엇인지, 그들은 당신이 무엇을 말할 것인가?
这个函数导入了CreateFileA
和MoveFileA
这个函数,说明它可以创建一个文件和移动一个文件
还有CreateRemoteThread
说明这个函数会在一个远程进程(Remote Process)里面创建一个自己的远程线程(Remote Thread)来运行恶意代码
还有FindResourceA、LoadResource
和SizeofResourse
这个函数,说明它再查找资源节的内容
GetCurrentProcess
和OpenProcess
这个是获得想要获得进程的文件描述符,也是为了操作远程的进程
值得注意的是GetTempPathA
这个函数,这说明这恶意代码可能会使用Temp目录
WinExec
说明这个程序可以运行另一个程序代码
然后在ADVAPI32.DLL
中呢,我们可以看到这几个导入函数
AdjustTokenPrivileges
说明这个函数可以通过令牌的方式确保只运行一个进程在系统中
LookupPrigilegeValueA
说明这个程序可以去查找用户的登录信息等系统敏感信息
第五问
哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
我们打开ida看看
可以看出这个程序会有一个\system32\wupdmgr.exe、\winup.exe的程序和psapi.dll、sfc_os.dll的动态链接库,我们可以根据这个来查找
下面是我使用Winhex 查找到的网址:http://www.practicalmalwareanalysis.com/updater.exe
可以通过这个http://www.practicalmalwareanalysis.com/updater.exe来断定这是下载木马的程序,木马就是updater.exe,在网络中的位置就是www.practicalmalwareanalysis.com,
第六问
这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
这个也是比较隐蔽的一种藏恶意代码的方式,我们先用Resource Hacker来看看这个文件
可以看出在BIN目录下有个101:1033
我们用一个资源节没用藏东西的程序看看会是什么样的
可以看出这里什么都没有
然后我将这个资源节里的代码导出来保存,再用ida来分析
保存为一个exe文件格式之后
再用ida打开
可以看到标黄的就是我们导出的东西
然后我们就可以发现这个导出的恶意代码里面包含了一个网址,和我们刚刚分析主程序时候的那个wupdmgrd.exe和winup.exe
然后这时候我们也可以通过这个http://www.practicalmalwareanalysis.com/updater.exe来断定这是下载木马的程序,木马就是updater.exe,在网络中的位置就是www.practicalmalwareanalysis.com,当然,回答上一问,我们也可以通过这个网络流量数据来分析判断受感染的机器的特征
关键提示和要求:
1、使用virustotal.com查看程序,分析报告;
2、用PEview和PEiD分析是否加壳(注意该程序的节的名称);导入表叫什么名字?
3、根据PEview,导入表中有哪些动态链接库?导入函数偶哪些?advapi32.dll使用的函数做什么事情?结合kernel32.dll使用了writeFile和WinExec函数,这个程序能够做什么事情?
4、仔细查看资源节,看看资源节的格式是否熟悉?
5、用strings查看字符串;字符串中有URL和路径信息吗?是什么信息?结合第3步,思考这个程序要做什么事情?
6、根据第4步的结果,使用Resource Hacker将资源节的内容保存为一个二进制文件。(注意文件保存的路径;注意,是保存资源节的内容。将二进制文件改为可执行文件。
7이 새 파일 PEview을 분석하는 것을 계속한다. 보기 가져 오기 테이블, 함수를 호출이 함수를 참조하고 무엇이든 할 수있는이 프로그램에 대해 생각?
인용문
1. "실용 악성 코드 분석을" 마이클 시코 르 스키, 앤드류 호니 · 2012 년
때문에 너무 너무 작에 접근하지 열거 여기 2. 온라인뿐만 아니라 이전 작품의 일부.