结合恶意代码分析实战实验课后题，分析样本Lab13-01.exe

病毒名称：Lab13-01.exe

MD5: A9A2734D080E3AE0F5ADA35E878DA7C8

SHA1: E8AACB0990E9F3A415AC7D5E24E7F7287665C110

CRC32: CBFD3466

2.1 测试环境

Windows 7 32位操作系统

2.2 测试工具

查壳工具：PEID

监测工具：火绒剑、PCHunter

调试工具：OD、IDApro

将病毒样本拖入火绒剑中,过滤到网络监控，可以看到病毒在以Get请求访问图3-1中的网址：

图3-1 病毒的网络监控

在查看Lab13-01.exe中的字符串，发现了http://%s/%s/访问网址的字符串，可以结合网络监控中访问的http://www.practicalmalwareanalysis.com/V0lOLTBMUlI4Q0dR/得知两个%s分别是www.practicalmalwareanalysis.com与V0lOLTBMUlI4Q0dR，但是在字符串搜索时却没有发现这两个字符串，可以初步认定这两个字符串经过了加密。

图3-2 查看字符串

   使用PEID进行查壳，如图4-1病毒并没有加壳，是一个VC 6.0的程序

图4-1 病毒查壳

4.2 恶意程序的代码分析

将程序载入IDAPro中，找到main函数，如图4-2，WSAStartup是一个初始化网络功能的函数。

图4-2 main函数

使用F5快捷键，查看伪C代码，如图4-3，很清晰地看出这是一个循环体，这可能是一个循环等待接受消息。

图4-3 伪C代码

使用IDA Pro搜索恶意代码中字符串‘xor’，可以发现可能为加密的函数。

图4-4 搜索xor

进入函数内部，通过辨认，可以得知这个函数解密了一串数据。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课