惡意代碼分析實戰——Lab03-01.exe基礎動態分析篇
1.實驗目的
綜合運用各種分析工具,分析Lab03-01.exe的基本資訊,并推測其功能,
2.實驗環境(硬體、軟體)
VMware虛擬機(winxp):
硬體:處理器Intel? Core? i5-10210U CPU @ 1.60GHz 2.11 GHz
軟體:32位作業系統
kali虛擬機
3.實驗步驟(詳細描述操作程序,關鍵分析需要附截圖)
(1)靜態分析
①MD5值
②peid分析
可以看到Lab03-01.exe已被加殼處理
③strings分析
strings Lab03-01.exe
發現一些注冊表資訊和一個exe檔案以及一個可以的域名
猜測分析可能會通過連接訪問該網址下載某些木馬檔案或者通過vmx32to64.exe下載打開某些后門,,所以在動態分析中重點關注注冊表修改資訊和檔案的增加洗掉以及聯網操作
(2)動態分析
①regshot注冊表分析
Regshot拍攝第一次快照后運行Lab03-01.exe
運行Lab03-01.exe后記錄第二次快照
點擊compare將兩次注冊表資訊對比后發現新增注冊表鍵值
發現在自啟動項VideoDriver中增加了鍵值43 3A 5C 57 49 4E 44 4F 57 53 5C 73 79 73 74 65 6D 33 32 5C 76 6D 78 33 32 74 6F 36 34 2E 65 78 65,將它換成字符為C:\WINDOWS\system32\vmx32to64.exe,說明VideoDriver自啟動項就是指向system32目錄下的vmx32to64.exe
②process explorer分析
打開explorer的下端視窗查看DLLs元件
運行Lab03-01.exe后發現
在Lab03-01.exe中存在ws2_32.dll和wshtcpip.dll所以說明存在網路方面的操作
③process monitor分析
進入Filter視窗添加篩選條件
由于在之前靜態分析時猜測該程式會下載vmx32to64.exe檔案,顧在運行Lab03-01.exe后可以ctrl+F直接搜索vmx32to64.exe后
發現在windows\system32路徑下創建寫入來vmx32to64.exe檔案并且在在currentversion\run下創建了VideoDriver自啟動項鍵值
來到windows\system32目錄下查看vmx32to64檔案
查看它的MD5值發現它同Lab03-01.exe一樣,所以得出結論Lab03-01.exe將自己復制到windows\system32目錄下,而在上面的注冊表分析中VideoDriver自啟動項鍵值指向了windows\system32路徑下的vmx32to64.exe
④ApateDNS網路訪問分析
發現它訪問了www.practicalmalwareanalysis.com這個網址
ApateDNS虛擬網路配置可參考文章《惡意代碼分析實戰——使用Apatedns和Inetsim模擬網路環境》
4.實驗結論
Lab03-01.exe的功能將自己復制到system32目錄下,并開機自啟動
且Lab03-01.exe運行使訪問www.practicalmalwareanalysis.com網址
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/347059.html
標籤:其他