-
-
[原创]分析实战读书笔记2_初级动态分析
-
发表于: 2020-12-8 15:13 3957
-
使用PEID查壳,发现是个没见过的壳子
观察导入表,发现只有一个ExitProcess
查找字符串,很幸运字符串部分提取到了有用的信息
通过字符串大致可以猜出有以下行为:
由于样本太旧,win7 win10无法运行,这里使用xp进行动态分析
使用RegShot建立注册表快照
将样本拖入火绒剑进行行为捕捉
可以看到样本释放了vmx32to64.exe
回到RegShot建立快照B,生成对比报告
可以看到样本新增了三个注册表键值,修改了三个注册表键值
找出这个恶意代码的导入函数与字符串列表?
这个恶意代码在主机上的感染迹象特征是什么?
这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?
PEID查壳,无壳
查看导入表,可以发现很多网络通信相关的函数,另外还有一些创建进程,创建线程,取自身路径,创建管道等等
查看导出表,有几个类似开关一样的函数
查看字符串,发现一个URL 一个cmd命令等等
创建注册表快照
使用rundll32命令运行dll的导出函数从0~5并监控行为
你怎样才能让这个恶意代码自行安装?
在安装之后,你如何让这个恶意代码运行起来?
你怎么能找到这个恶意代码是在哪个进程下运行的?
你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?
这个恶意代码在主机上的感染迹象特征是什么?
这个恶意代码是否存在一些有用的网络特征码?
PEID查壳,无壳,控制台程序
查看导入表可以看到一些文件操作,写进程内存,获取线程上下文,进程操作,资源操作,取系统目录等
由于涉及了资源操作,我们使用RESHACK来看一下资源段,一段未知数据,很像加密后的PE数据
我们导出这段数据,使用010进行41亦或解密,很明显这是一段PE数据,保存
存好后回到主程序,查看字符串,除了API以外只有两个文件名字符串:svchost和ntdll
将衍生体拖入PEID查壳
查看衍生体导入表,包含文件操作,进程操作,设置了消息钩子等
对衍生体进行提串,可以发现几个键盘按键名,一个日志文件名和一些API,初步猜测有键盘记录功能
重复步骤不写了,直接贴上火绒剑分析结果
已经十分明显了,各个行为都说明了样本在执行一段进程替换的代码
衍生体执行后会崩溃,目前来看只能通过主程序注入到傀儡进程进行运行
当你使用Process Explorer工具进行监视时,你注意到了什么?
你可以找出任何的内存修改行为吗?
这个恶意代码在主机上的感染迹象特征是什么?
这个恶意代码的目的是什么?
拖入PEID,无壳,控制台程序
查看导入表可以发现导入的函数很多,也说明了样本的功能复杂度更高,其中涉及文件操作,进程操作,内存操作,服务操作等
对样本进行提串,发现以下几处敏感信息,包含了文件类型字符串,动态库,疑似环境变量,URL,服务名,参数格式等
拖入火绒剑分析行为,发现执行了自删除后样本就结束了,尝试了反反虚拟机,XP等不同镜像,行为一致
当你运行这个文件时,会发生什么呢?
是什么原因造成动态分析无法有效实施?
是否有其他方式来运行这个程序?
本章初步接触了几个类型的样本:进程替换,服务安装,自启动,自删除等,这些都是恶意程序常用的手段.
由于样本加密,导入函数只有一个ExitProcess
字符串中包含多个可用信息,整理为:
-
向注册表写值,其中包含一个自启动的注册表路径
-
使用`ws2_32`中的函数来访问网址`www.practicalmalwareanalysis.com`
-
vmx32to64.exe会涉及对这个文件的操作
由于样本加密,导入函数只有一个ExitProcess
字符串中包含多个可用信息,整理为:
-
向注册表写值,其中包含一个自启动的注册表路径
-
使用`ws2_32`中的函数来访问网址`www.practicalmalwareanalysis.com`
-
vmx32to64.exe会涉及对这个文件的操作
可以通过观察HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处的值是否包含
"VideoDriver"
=
"C:\\WINDOWS\\system32\\vmx32to64.exe"
可以通过观察C:\\WINDOWS\\system32路径下是否包含vmx32to64.exe文件
可以通过观察HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处的值是否包含
"VideoDriver"
=
"C:\\WINDOWS\\system32\\vmx32to64.exe"
可以通过观察C:\\WINDOWS\\system32路径下是否包含vmx32to64.exe文件
存在一个URL www.practicalmalwareanalysis.com
存在一个URL www.practicalmalwareanalysis.com
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
- 利用OLLVM编译windows驱动 30583
- [求助]SetWindowLong、SetWindowLongPtr无效问题 6965
- [求助]大佬们求一份21H2镜像,最好是VM镜像,原版也可以 7015
- [原创]X86内核笔记_6_APC相关 22522
- [原创]X86内核笔记_5_句柄 15547