-
-
[原创]一个.net恶意样本的分析
-
发表于:
2019-3-14 18:11
6122
-
1.样本概况
病毒名称:1d494e530060d1b4d320cfe58eedca4f732cf8f3
MD5: 8F47BB964E517429B9C50989B2D59005
SHA1: 1D494E530060D1B4D320CFE58EEDCA4F732CF8F3
CRC32: 9BD6E1BF
2.1.1 测试环境
Windows 7 32位操作系统
2.1.2 测试工具
查壳工具:PEID、ExeinfoPE
监测工具:火绒剑、PCHunter
调试工具:dnSpy
使用PEID进行查壳,如图1-1是个.net编写的程序
图1-1 病毒查壳
将恶意程序手动脱壳,使用PEID的插件查看恶意程序的加密算法,并没有加密算法
图1-2 加密算法
将恶意样本上传到微步云沙箱,发现恶意程序有如下行为。
图1-3 云沙箱分析
将病毒样本拖入火绒剑中,过滤到行为监控,可以看到病毒释放了一个PE文件、启动PE文件并入侵进程。
图2-1 病毒释放文件
过滤到执行监控,看到恶意程序加载了一些模块。
图2-2 执行监控
过滤到文件监控
图2-3 文件监控
过滤到网络监控
图2-4 网络监控
最后使用注册表对比工具,将运行恶意程序前后对比,注册表在Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows设置键值
。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)