这次把实验3-4-5写到一起,感觉这样更好看一些 []~( ̄▽ ̄)~*

lab3-1

分析
首先,加壳,由于这一章是动态分析,所以不脱壳直接动态分析

通过procmon可以得到一些库出去基础,额外有ntdll.dll、wow64.dll

字符串中有如下图

病毒特征

可能修改了注册表使其可以开机自动运行,并且运行了一个vmx32to64.exe的程序

不过这个文件应该是挂了,我的win7系统上运行不起来,毕竟这本书是在xp的基础上讲得,不过我发现如果用ida可以直接判断出很多有用的信息

一些知识:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

procmon筛选会出现的典型噪声(原理:随机数发生器的种子会有软件在注册表上不断更新)
HKML\SOFTWARE\Microsoft\Cryptography\RNG\Seed

之后换了在xp机上实验,果然是版本问题,看来病毒太老也是不行 0-0

procmon选出筛选条件

病毒特征

得到相关数据

病毒特征

这里可以得出上述中的vmx32to64.exe写进了system32的文件里,seed是噪声,第二项表明建立了一个开机启动项

procex可以观察正在运行中的lab03-1.exe的一些信息

导入的一些dll文件

病毒特征

ws2_32.dll: Windows Sockets应用程序接口, 用于支持Internet和网络应用程序。 //一般就是允许恶意软件联网(还有wshtcpip.dll)
建立了一个互斥量WinVMX32(互斥量:同一时间保证只有一个恶意代码在运行)
病毒特征

同时在注册表设置了开机自启动
病毒特征

第一个实例就是练习试用一下各个工具

3-2

样本名称:Lab03-02.dll
样本大小:24065bytes
样本类型:DLL 32bit Portable executable for 80386 (PE)
MD5:84882C9D43E23D63B82004FAE74EBB61

分析环境:Windows7 64虚拟机
调试工具:PE_Stu、IDA

直接一个dll文件,之前说过可以用rundll32.dll直接运行一下,刚开始踩坑了,应该先去查看他的输出表,之后再去根据输出表的函数输入对应的cmd命令

病毒特征

cmd命令: rundll32.exe Lab03-02.dll,installA

看到ServcieMain说明恶意代码要安装一个服务
病毒特征

查看import库

CreateServiceA,RegSetValueExA等(ADVAPI32.dll)表明里面有服务操作,且有注册表值修改
WS2_32.dll:联网,其中有关于http的相关函数说明使用了http

病毒特征
病毒特征
病毒特征

一个好奇的人