首页
社区
课程
招聘
[原创]分析实战读书笔记2_初级动态分析
发表于: 2020-12-8 15:13 3957

[原创]分析实战读书笔记2_初级动态分析

2020-12-8 15:13
3957

使用PEID查壳,发现是个没见过的壳子

image-20201208130926243

观察导入表,发现只有一个ExitProcess

image-20201208130951405

查找字符串,很幸运字符串部分提取到了有用的信息

image-20201208131155416

通过字符串大致可以猜出有以下行为:

由于样本太旧,win7 win10无法运行,这里使用xp进行动态分析

使用RegShot建立注册表快照

image-20201208132621983

将样本拖入火绒剑进行行为捕捉

image-20201208132716398

可以看到样本释放了vmx32to64.exe

回到RegShot建立快照B,生成对比报告

image-20201208132847073

可以看到样本新增了三个注册表键值,修改了三个注册表键值

找出这个恶意代码的导入函数与字符串列表?

这个恶意代码在主机上的感染迹象特征是什么?

这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?

PEID查壳,无壳

image-20201208134034384

查看导入表,可以发现很多网络通信相关的函数,另外还有一些创建进程,创建线程,取自身路径,创建管道等等

image-20201208134134253

查看导出表,有几个类似开关一样的函数

image-20201208134549482

查看字符串,发现一个URL 一个cmd命令等等

image-20201208134430518

创建注册表快照

image-20201208135442969

使用rundll32命令运行dll的导出函数从0~5并监控行为

image-20201208135746107

image-20201208135824699

image-20201208135844778

image-20201208135915453

image-20201208135936668

image-20201208140003354

你怎样才能让这个恶意代码自行安装?

在安装之后,你如何让这个恶意代码运行起来?

你怎么能找到这个恶意代码是在哪个进程下运行的?

你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?

这个恶意代码在主机上的感染迹象特征是什么?

这个恶意代码是否存在一些有用的网络特征码?

PEID查壳,无壳,控制台程序

image-20201208143103515

查看导入表可以看到一些文件操作,写进程内存,获取线程上下文,进程操作,资源操作,取系统目录等

image-20201208143134200

由于涉及了资源操作,我们使用RESHACK来看一下资源段,一段未知数据,很像加密后的PE数据

image-20201208143348154

我们导出这段数据,使用010进行41亦或解密,很明显这是一段PE数据,保存

image-20201208143510032

存好后回到主程序,查看字符串,除了API以外只有两个文件名字符串:svchost和ntdll

image-20201208143834265

将衍生体拖入PEID查壳

image-20201208143617366

查看衍生体导入表,包含文件操作,进程操作,设置了消息钩子等

image-20201208144021479

对衍生体进行提串,可以发现几个键盘按键名,一个日志文件名和一些API,初步猜测有键盘记录功能

image-20201208144156601

重复步骤不写了,直接贴上火绒剑分析结果

image-20201208144520219

已经十分明显了,各个行为都说明了样本在执行一段进程替换的代码

衍生体执行后会崩溃,目前来看只能通过主程序注入到傀儡进程进行运行

image-20201208144744512

当你使用Process Explorer工具进行监视时,你注意到了什么?

你可以找出任何的内存修改行为吗?

这个恶意代码在主机上的感染迹象特征是什么?

这个恶意代码的目的是什么?

拖入PEID,无壳,控制台程序

image-20201208145914793

查看导入表可以发现导入的函数很多,也说明了样本的功能复杂度更高,其中涉及文件操作,进程操作,内存操作,服务操作等

image-20201208145949637image-20201208150006068

对样本进行提串,发现以下几处敏感信息,包含了文件类型字符串,动态库,疑似环境变量,URL,服务名,参数格式等

image-20201208150333976

拖入火绒剑分析行为,发现执行了自删除后样本就结束了,尝试了反反虚拟机,XP等不同镜像,行为一致

image-20201208150552809

当你运行这个文件时,会发生什么呢?

是什么原因造成动态分析无法有效实施?

是否有其他方式来运行这个程序?

本章初步接触了几个类型的样本:进程替换,服务安装,自启动,自删除等,这些都是恶意程序常用的手段.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
由于样本加密,导入函数只有一个ExitProcess
字符串中包含多个可用信息,整理为:
- 向注册表写值,其中包含一个自启动的注册表路径
- 使用`ws2_32`中的函数来访问网址`www.practicalmalwareanalysis.com`
- vmx32to64.exe会涉及对这个文件的操作
由于样本加密,导入函数只有一个ExitProcess
字符串中包含多个可用信息,整理为:
- 向注册表写值,其中包含一个自启动的注册表路径
- 使用`ws2_32`中的函数来访问网址`www.practicalmalwareanalysis.com`
- vmx32to64.exe会涉及对这个文件的操作
可以通过观察HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处的值是否包含"VideoDriver"="C:\\WINDOWS\\system32\\vmx32to64.exe"
 
可以通过观察C:\\WINDOWS\\system32路径下是否包含vmx32to64.exe文件
可以通过观察HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处的值是否包含"VideoDriver"="C:\\WINDOWS\\system32\\vmx32to64.exe"
 
可以通过观察C:\\WINDOWS\\system32路径下是否包含vmx32to64.exe文件
存在一个URL  www.practicalmalwareanalysis.com
存在一个URL  www.practicalmalwareanalysis.com
 
 
 
 
 
 
 
 
 
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-12-8 15:28 被SSH山水画编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//