惡意代碼分析實戰——Lab03-02.dll分析篇

一、分析物件

Lab03-02.dll

二、實驗環境（本次一切實驗環境均在vmware虛擬機下進行）

1、kall虛擬機
2、winxp虛擬機（經過不斷的踩坑，不斷的嘗試最后發現在winxp系統中進行實驗最容易成功，雖然由于系統版本比較低，需要下載一些其它插件，但是正是因為系統較簡單的原因，可以省去較多的麻煩，所以在今后的實驗中建議使用winxp系統）
3、本次實驗在由kall與win10虛擬機組成的虛擬網路環境中，vmware虛擬網路環境的搭建方法見《惡意代碼分析實戰——使用Apatedns和Inetsim模擬網路環境》一文，

三、實驗工具

1、靜態分析工具：MD5Deep，peid，PEview，strings64
2、動態分析工具：Procmon，Process Explorer，Regshot
3、網路工具：INetSim，ApateDNS，Netcate，Wireshark

四、實驗開始

（一）靜態分析

1、查看Lab03-02.dll的MD5值

在這里插入圖片描述

2、PEID分析

在這里插入圖片描述
從中我們看到并未加殼處理，再觀看它的匯出串列

從中我們看到共5個匯出函式，其中ServiceMain是和服務相關的函式，所以猜測Lab03-02.dll目的是下載某個服務，

3、peview分析

首先它的匯出函式和在peid中查看的相同
在這里插入圖片描述
然后我們再來看一下它的匯出表，發現了一些依賴匯入函式元件

KERNEL32.dll:

內核級檔案，它控制著系統的記憶體管理、資料的輸入輸出操作和中斷處理，當Windows啟動時，kernel32.dll就駐留在記憶體中特定的寫保護區域，使別的程式無法占用這個記憶體區域，
ADVAPI32.dll:

一個高級API應用程式介面服務庫的一部分，包含的函式與物件的安全性，注冊表的操控以及事件日志有關，xp系統一般位于C:\WINDOWS\system32\目錄下，大小659KB，
WS2_32.dll:

Windows Sockets應用程式介面，用于支持Internet和網路應用程式，
WININET.dll:

Windows應用程式網路相關模塊，通常情況下是在安裝作業系統程序中自動創建的，對于系統正常運行來說至關重要，它的存在對維護計算機系統的穩定具有重要作用，
MSVCRT.dll:

微軟在windows作業系統中提供的C語言運行庫執行檔案(Microsoft Visual C Runtime Library)，其中提供了printf, malloc, strcpy等C語言庫函式的具體運行實作，并且為使用C/C++(Vc)編譯的程式提供了初始化（如獲取命令列引數）以及退出等功能，

其中，通過觀察ADVAPI32.dll依賴的匯入函式，發現該惡意代碼的功能實作中涉及了開啟服務；開啟注冊表、注冊表查詢、創建注冊表鍵、設定注冊表鍵值、注冊服務控制處理、設定服務狀態等，這顯然是為了實作ServiceMain的正常運行，

在這里插入圖片描述
并且在它的匯入表中發現了一些涉及網路訪問功能的函式，

4、strings查看可列印字串

在這里插入圖片描述

在這里插入圖片描述
通過觀察可列印字串中發現，除了同上發現的一下匯入匯出函式外，還發現了practicalmalwareanalysis.com等一些域名資訊以及一些注冊表資訊，此外還發現了svchost.exe的可執行程式，

通過以上資訊可以得出總結，該程式可能通過訪問 practicalmalwareanalysis.com網址，來下載某些程式，將自己下載為某個服務，而dll檔案在Windows系統中一般不可以直接執行，所以必然存在某個可執行程式來運行Lab03-02.dll檔案，而在可列印字串中發現的svchost很有可能便是運行dll檔案的exe檔案，

（二）動態分析

1、Regshot注冊表分析（分析比較運行Lab3-02.dll前后注冊表變化）

（1）運行Lab03-02.dll前利用regshot記錄一下注冊表資訊，之后2nd shot會亮起：
在這里插入圖片描述
（2）使用rundll32運行Lab03-02.dll
由于lab03-02.dll通過把自己安裝成一個服務來正常運行，故在CMD模式下，執行下述命令：

rundll32 Lab03-02.dll，installA

在這里插入圖片描述

（3）利用regshot記錄運行Lab03-02.dll后的注冊表資訊，之后compare亮起
在這里插入圖片描述

（4）點擊compare對比運行Lab03-02.dll前后的變化
在這里插入圖片描述
在key adds中發現增加了一個IPRIP的服務，說明Lab03-02.dll將自己安裝成一個IPRIP服務，印證了上述的猜測，并且dll需要一個可執行程式來執行它，在注冊表中發現了svchost.exe執行程式，加重了是它運行的嫌疑，該惡意代碼執行時顯示的名字為“Intranet Network Awareness（NIA+）”

2、ApateDNS虛擬網路分析

配置好kali和winxp的虛擬網路，開啟ApateDNS，并在kali中用nc監聽80埠，然后可以使用net start 開啟IPRIP服務

在這里插入圖片描述
啟動IPRIP服務后發現Lab03-02.dll訪問了practicalmalwareanalysis.com網址

發現它會請求獲取serve.html網頁檔案

3、process explorer分析

開啟IPRIP服務后ctrl+F搜索Lab03-02.dll后，發現Lab03-02.dll確實附著在svchost.exe上運行，其pid為1028（不同電腦可能會不同），因此在這里就可以確定Lab03-02.dll就是通過svchost.exe執行的

在這里插入圖片描述
之后找到1028程式，確實在它的里面找到了Lab03-02.dll

五、實驗總結

Lab03-02.dll通過svchost.exe運行把自己安裝成一個IPRIP服務，該服務的作用是向practicalmalwareanalysis.com發送了一個HTTP GET請求，獲取serve.html頁面，

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/347065.html

標籤：其他

上一篇：script使用integrity屬性進行安全驗證

下一篇：cs和msf實作內網橫向移動3