Lab01-04.exe
문제 및 분석
첫 번째 질문
http://www.virusTotal.com/에 업로드 Lab01-04.exe 파일을 분석하고 보고서를 볼. 파일 안티 바이러스 소프트웨어 DO의 기존 기능에 맞게?
위의 정보는 다음과 같은 기능을 얻을 수 있습니다 :
-
TrojanDownloader 트로이 목마 다운로더
-
Trojan.Heur.RP.E9A4ED 트로이 목마, 천천히 아래로 또는 컴퓨터 네트워크 충돌, 컴퓨터는 등, 느린 실행
분석 가능성이 엔진의 큰 부분은 백도어 트로이 목마 소프트웨어 다운로드를 표시하는 것으로 나타났다
여기에 좀 더 자세한 사항은 다음과 같습니다 :
두 번째 질문
이 파일의 흔적은이 포장 또는 혼란 있습니까? 어떻게 그렇게, 이러한 징후는 무엇인가? 가능하면 포격 여부?
: 첫 번째 PEiD에 의해 감지되지
당신이 여기에서 볼 수 있으며, 더 쉘
그런 다음 정보 PE보기보기 축제를 사용
여기에는 실제 데이터의 크기보다 작은 가상 크기가 정상 상태이고, 정상 부분은, 수 있음을 알 수있는 프로그램이 충전되어 있지 않다고 판정
세 번째 질문
이 파일은 컴파일 할 때?
그런 사실은 우리에게 한 virustotal
타임 스탬프 2019 : 08 : 30 23 : 26 : 59 + 01 : 00
우리는 또한 수 있습니다 Dependency Walker값도 볼 만
넷째 요청
이 프로그램의 기능을 암시 수있는 가져 오기 기능이 없다? 이 경우, 가져 오기 기능이 무엇인지, 그들은 당신이 무엇을 말할 것인가?
这个函数导入了CreateFileA和MoveFileA这个函数,说明它可以创建一个文件和移动一个文件
还有CreateRemoteThread说明这个函数会在一个远程进程(Remote Process)里面创建一个自己的远程线程(Remote Thread)来运行恶意代码
还有FindResourceA、LoadResource和SizeofResourse这个函数,说明它再查找资源节的内容
GetCurrentProcess和OpenProcess这个是获得想要获得进程的文件描述符,也是为了操作远程的进程
值得注意的是GetTempPathA这个函数,这说明这恶意代码可能会使用Temp目录
WinExec说明这个程序可以运行另一个程序代码
然后在ADVAPI32.DLL中呢,我们可以看到这几个导入函数
AdjustTokenPrivileges说明这个函数可以通过令牌的方式确保只运行一个进程在系统中
LookupPrigilegeValueA说明这个程序可以去查找用户的登录信息等系统敏感信息
第五问
哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
我们打开ida看看
可以看出这个程序会有一个\system32\wupdmgr.exe、\winup.exe的程序和psapi.dll、sfc_os.dll的动态链接库,我们可以根据这个来查找
下面是我使用Winhex 查找到的网址:http://www.practicalmalwareanalysis.com/updater.exe
可以通过这个http://www.practicalmalwareanalysis.com/updater.exe来断定这是下载木马的程序,木马就是updater.exe,在网络中的位置就是www.practicalmalwareanalysis.com,
第六问
这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
这个也是比较隐蔽的一种藏恶意代码的方式,我们先用Resource Hacker来看看这个文件
可以看出在BIN目录下有个101:1033
我们用一个资源节没用藏东西的程序看看会是什么样的
可以看出这里什么都没有
然后我将这个资源节里的代码导出来保存,再用ida来分析
保存为一个exe文件格式之后
再用ida打开
可以看到标黄的就是我们导出的东西
然后我们就可以发现这个导出的恶意代码里面包含了一个网址,和我们刚刚分析主程序时候的那个wupdmgrd.exe和winup.exe
然后这时候我们也可以通过这个http://www.practicalmalwareanalysis.com/updater.exe来断定这是下载木马的程序,木马就是updater.exe,在网络中的位置就是www.practicalmalwareanalysis.com,当然,回答上一问,我们也可以通过这个网络流量数据来分析判断受感染的机器的特征
关键提示和要求:
1、使用virustotal.com查看程序,分析报告;
2、用PEview和PEiD分析是否加壳(注意该程序的节的名称);导入表叫什么名字?
3、根据PEview,导入表中有哪些动态链接库?导入函数偶哪些?advapi32.dll使用的函数做什么事情?结合kernel32.dll使用了writeFile和WinExec函数,这个程序能够做什么事情?
4、仔细查看资源节,看看资源节的格式是否熟悉?
5、用strings查看字符串;字符串中有URL和路径信息吗?是什么信息?结合第3步,思考这个程序要做什么事情?
6、根据第4步的结果,使用Resource Hacker将资源节的内容保存为一个二进制文件。(注意文件保存的路径;注意,是保存资源节的内容。将二进制文件改为可执行文件。
7이 새 파일 PEview을 분석하는 것을 계속한다. 보기 가져 오기 테이블, 함수를 호출이 함수를 참조하고 무엇이든 할 수있는이 프로그램에 대해 생각?
인용문
1. "실용 악성 코드 분석을" 마이클 시코 르 스키, 앤드류 호니 · 2012 년
때문에 너무 너무 작에 접근하지 열거 여기 2. 온라인뿐만 아니라 이전 작품의 일부.
