使用PEID查壳,发现是个没见过的壳子

观察导入表,发现只有一个ExitProcess

查找字符串,很幸运字符串部分提取到了有用的信息

通过字符串大致可以猜出有以下行为:

由于样本太旧,win7 win10无法运行,这里使用xp进行动态分析

使用RegShot建立注册表快照

将样本拖入火绒剑进行行为捕捉

可以看到样本释放了vmx32to64.exe

回到RegShot建立快照B,生成对比报告

可以看到样本新增了三个注册表键值,修改了三个注册表键值

找出这个恶意代码的导入函数与字符串列表?

这个恶意代码在主机上的感染迹象特征是什么?

这个恶意代码是否存在一些有用的网络特征码?如果存在，它们是什么?

PEID查壳,无壳

查看导入表,可以发现很多网络通信相关的函数,另外还有一些创建进程,创建线程,取自身路径,创建管道等等

查看导出表,有几个类似开关一样的函数

查看字符串,发现一个URL 一个cmd命令等等

创建注册表快照

使用rundll32命令运行dll的导出函数从0~5并监控行为

你怎样才能让这个恶意代码自行安装?

在安装之后，你如何让这个恶意代码运行起来?

你怎么能找到这个恶意代码是在哪个进程下运行的?

你可以在procmon工具中设置什么样的过滤器，才能收集这个恶意代码的信息?

这个恶意代码在主机上的感染迹象特征是什么?

这个恶意代码是否存在一些有用的网络特征码?

PEID查壳,无壳,控制台程序

查看导入表可以看到一些文件操作,写进程内存,获取线程上下文,进程操作,资源操作,取系统目录等

由于涉及了资源操作,我们使用RESHACK来看一下资源段,一段未知数据,很像加密后的PE数据

我们导出这段数据,使用010进行41亦或解密,很明显这是一段PE数据,保存

存好后回到主程序,查看字符串,除了API以外只有两个文件名字符串:svchost和ntdll

将衍生体拖入PEID查壳

查看衍生体导入表,包含文件操作,进程操作,设置了消息钩子等

对衍生体进行提串,可以发现几个键盘按键名,一个日志文件名和一些API,初步猜测有键盘记录功能

重复步骤不写了,直接贴上火绒剑分析结果

已经十分明显了,各个行为都说明了样本在执行一段进程替换的代码

衍生体执行后会崩溃,目前来看只能通过主程序注入到傀儡进程进行运行

当你使用Process Explorer工具进行监视时，你注意到了什么?

你可以找出任何的内存修改行为吗?

这个恶意代码在主机上的感染迹象特征是什么?

这个恶意代码的目的是什么?

拖入PEID,无壳,控制台程序

查看导入表可以发现导入的函数很多,也说明了样本的功能复杂度更高,其中涉及文件操作,进程操作,内存操作,服务操作等

对样本进行提串,发现以下几处敏感信息,包含了文件类型字符串,动态库,疑似环境变量,URL,服务名,参数格式等

拖入火绒剑分析行为,发现执行了自删除后样本就结束了,尝试了反反虚拟机,XP等不同镜像,行为一致

当你运行这个文件时，会发生什么呢?

是什么原因造成动态分析无法有效实施?

是否有其他方式来运行这个程序?

本章初步接触了几个类型的样本:进程替换,服务安装,自启动,自删除等,这些都是恶意程序常用的手段.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课