|
Lab 1-1 1将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下: 
可以看到,大部分匹配到了w32/Ramnit系列病毒特征 2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:  
第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒. 3看是否加壳最快的当然是用PEID看一下就好,不存在加密混淆. 
4从上面的截图可以看出,恶意程序执行一些文件操作的行为,查找文件(FindFirstFileA,FindNextFilesA),创建文件(CreateFileA),读写文件(CopyFileA),创建内存映射对象(CreateFileMappingA),.dll文件创建进程执行程序(CreateProcess),创建互斥量(OpenMutexA) 联网(WS2_32.dll)等行为 5用IDApro查看.exe文件字符串截图如下: 
可以看到两个kernel32.dll的细微差别,一个是kernel32.dll,一个是kerne132.dll,可以推测恶意程序劫持了kernel32.dll,还有.exe结合第四点推测他可能查找一个可执行文件 6用IDApro查看.dll文件的字符串: 
结合WS2_32.dll推测他可能链接这个IP地址,获取exec命令来运行一个程序,一个sleep来是后门程序休眠 7由经验:后门程序常用GetProcess和sleep,得到总结.dll是个后门程序,而.exe加载运行.dll
Lab1-2 1匹配到已有反病毒软件特征,结果和上一题类似就不贴图了,感兴趣可以自己上传查看. 2在option里面选中核心扫描,普通扫描测不出来 
脱壳的话,我在给的链接下载的upx394w就可以脱壳成功截图: 
也可以手动脱壳,用ollydbg打开找到OEP 
PETooldump内存,接着用ImportREC修复输入表
脱壳后用PEID查看:  
3下面两个函数说明了程序会打开一个链接 
创建服务相关函数 
4用IDApro查看字符串 
一个Malservice服务名称,一个链接,可以通过监视网络流量检查被恶意代码感染的主机
Lab1-3 2PEID查看 FSG加壳 
ollydbg手动脱壳查找oep选择第三个就可直接到达OEP处,然后选择分析代码,接着选择下图第一个选项dump出来即可. 
脱壳后: 
3组件对象模型com的相关操作 
4得到一个链接,可以作为网络迹象说明主机是否被感染 
Lab1-4 2没有加壳 
3 PETool查看时间,可以看出是个不可信的时间 
4权限操作相关函数 
注意最后两个函数告诉我们,程序将会创建一个可执行文件并且运行他 
5第一行说明恶意代码创建的程序 
6将资源文件用resource hacker打开,可以轻易判断出这是一个.exe文件 
提出来保存成.exe文件再用IDApro打开,查看字符串可以看到一个链接,推测wupdmgrd.exe程序就是从这个链接下载得到. 
| 
转播
