《恶意代码分析实战》课后题第三章

Lab 3-1

1、首先静态分析，使用PEid分析，加壳

目前还不会PEncrypt的脱壳，后续再补充（网上资料PEnrypt 3.1 Final的OEP在401528处，以后验证）

因为加壳了，所以显示的导入表和函数不多 。

使用strings进行查看

出现了连接的恶意网址，以及注册表的位置，尤其是..Run,是恶意软件常用的自启动的，以及恶意软件vmx32to64.exe可能是适配32位的操作环境。

2、简单的动态分析

打开wireshark、process monitor（过滤为进程名为Lab03-01.exe）、process explorer、Regshot

首先用regshot建立注册表快照；

运行恶意软件

process monitor设置过滤

创建了一个互斥量，实现计算机在某个资源同一时间只有一个对象在运行，

注意ws2_32.dll和wshtcpip.dll：说明有联网操作

通过pricess monitor发现：有创建进程、线程、文件、改变注册表 ，读写文件等操作

进一步筛选，过滤器 写文件和注册表写键值、

发现了新建的恶意可执行文件

大小和源文件相同，猜测复制到该处。

通过第三条，加进为自启动项

综上，创建了互斥量，并将自身复制到了指定位置，并且设置为开机自启动项。

3

Lab3-2

先用peid看一下 发现没加壳

输出表：猜测installA是安装程序

用strings查看一下字符串，有联网和创建文件等操作

网址

可能是宿主程序

注册表位置

使用dependency walker查看

对注册表进行操作、联网、读文件、休眠

打开regshot进行快照

使用rundll32.exe运行installA.exe

分析两次regedit快照

看到创建了 IPRIP的服务，以及镜像地址 svchost.exe还有相关描述

通过运行命令提示符 net start IPRIP运行恶意代码

通过process explorer查看运行的进程（因为dll文件不直接显示，所有通过查找该dll，找到其依附的进程）

所以在process monitor中设置PID为1020的过滤器

Lab 3-3

用peid查看没加壳，查看导入函数，有读写文件，建立文件，创立线程，休眠

打开process explorer和monitor

1、现象：出现了Lab03-03.exe进程 但是一闪而过，然后创建了一个没有父进程的svchost.exe

2、对比svhost.exe的内存映像和磁盘映像，多了一个日志文件

可能是一个键盘记录器

通过process monitor 查看该程序的pid

找到创建的文件的位置

证明就是一个键盘记录器

3、创建了一个日志文件

4、使用svchost。exe混淆，并创建了一个日志文件记录键盘输入。

Lab 3-4

使用PE i D查看没加壳，查看输入函数

有复制文件，读写文件，休眠，创建文件，创建服务，注册表修改，调用cmd

通过strings发现

可能有联网操作，download ，可能是一个http的后门下载程序

1、process explorer没有检测到，并且该文件自己删除了。