在嘗試學(xué)習(xí)分析的過(guò)程中，判斷結(jié)論不一定準(zhǔn)確，只是一些我自己的思考和探索。敬請(qǐng)批評(píng)指正！

1. 實(shí)踐內(nèi)容

搜索、下載并執(zhí)行Process Monitor，觀察隨著時(shí)間的推移，軟件所記錄信息；設(shè)置監(jiān)控條件對(duì)惡意代碼敏感的功能進(jìn)行監(jiān)控。
搜索、下載并執(zhí)行Process Explorer，查看進(jìn)程列表，選擇相應(yīng)進(jìn)程進(jìn)行簽名驗(yàn)證，對(duì)比其硬盤上的文件和內(nèi)存中的鏡像，結(jié)合Dependency Walker對(duì)其所載入的dll文件進(jìn)行比對(duì)。
搜索、下載并執(zhí)行Regshot，觀察注冊(cè)表的變化情況。

2. 實(shí)踐一：lab03-01.exe

（1）簡(jiǎn)單靜態(tài)分析

使用常用工具查看：

本程序被加殼，只能看到一個(gè)導(dǎo)入函數(shù)。

雖然是加過(guò)殼的，但是可以看到比較多的信息：

有一些路徑、一個(gè)網(wǎng)址：可能有聯(lián)網(wǎng)下載的操作
一個(gè)exe程序名：可能是寫(xiě)入的惡意程序
注冊(cè)表自啟動(dòng)項(xiàng)鍵值：可能程序要把自己寫(xiě)入自啟動(dòng)項(xiàng)

在之后的分析中應(yīng)該關(guān)注網(wǎng)絡(luò)連接和下載、注冊(cè)表更改、新程序的寫(xiě)入的操作。

然后就可以開(kāi)啟監(jiān)視工具并運(yùn)行Lab01-03.exe進(jìn)行簡(jiǎn)單的動(dòng)態(tài)分析了。

（2）使用Process Monitor分析

由于這個(gè)工具監(jiān)視的項(xiàng)目過(guò)多，進(jìn)行過(guò)濾操作：對(duì)Lab03-01.exe程序?qū)ψ?cè)表鍵值的更改操作、寫(xiě)文件的操作過(guò)濾顯示。

可以看到：

惡意代碼在系統(tǒng)盤下寫(xiě)入了一個(gè)新程序vmx32to64.exe（就是之前看到的那個(gè)exe字符串），這個(gè)新的可執(zhí)行程序的長(zhǎng)度為7168。實(shí)際上，它與Lab03-01.exe程序本身長(zhǎng)度是一致的：

可以推測(cè)它將自己復(fù)制到了system32文件夾下。

再看過(guò)濾出的寫(xiě)入注冊(cè)表值：

顯示對(duì)注冊(cè)表鍵值的更改成功。雙擊查看詳情：

可以看到寫(xiě)入的注冊(cè)表自啟動(dòng)項(xiàng)鍵值的數(shù)據(jù)，路徑就是剛創(chuàng)建的那個(gè)可執(zhí)行程序。

（3）使用Process Explorer分析

開(kāi)啟Process Explorer：

可以看到Lab03-01.exe是一個(gè)已經(jīng)運(yùn)行的進(jìn)程。查看這個(gè)進(jìn)程連接的dll：

這個(gè)程序應(yīng)該是有聯(lián)網(wǎng)的操作。對(duì)dll進(jìn)行簽名驗(yàn)證：

查看內(nèi)存鏡像和硬盤鏡像中可執(zhí)行文件的字符串列表（之前驗(yàn)證的是磁盤上的鏡像而不是內(nèi)存中的，通過(guò)這樣的比較可以分析代碼是否有做手腳）：

（4）Regshot注冊(cè)表的變化情況

在運(yùn)行Lab03-01.exe之前進(jìn)行一次注冊(cè)表快照，運(yùn)行之后在進(jìn)行一次，并進(jìn)行比較：

可以看到顯示注冊(cè)表有一個(gè)值有改變：

鍵值名為VideoDriver，鍵值為C盤下system32中的vmx32to64.exe。

（5）網(wǎng)絡(luò)行為

由于分析它有網(wǎng)絡(luò)行為，所以用wireshark進(jìn)行抓包：

可以看到這個(gè)程序有一個(gè)向www.practicalmalwareanalysis.com連接的包，之后與這個(gè)ip（192.0.78.25）有數(shù)據(jù)傳遞的包。

（6）從主機(jī)上觀察現(xiàn)象

新增加了一個(gè)文件：

修改的注冊(cè)表鍵值：

3. 實(shí)踐二：lab03-02.dll

（1）簡(jiǎn)單靜態(tài)分析

從PEiD中我們可以知道，這個(gè)dll文件是沒(méi)有加殼的，并且很可能開(kāi)啟了一個(gè)服務(wù)：

導(dǎo)入函數(shù)顯示它很有可能是網(wǎng)絡(luò)相關(guān)的：

查看這個(gè)dll的導(dǎo)出函數(shù)有五個(gè)，而導(dǎo)出名部分看起來(lái)應(yīng)該是installA。

（2）運(yùn)行這個(gè)dll程序

借助rundll32.exe工具運(yùn)行起來(lái)這個(gè)dll：

查看注冊(cè)表的變化：

可以看到這個(gè)惡意代碼將自身安裝為一個(gè)IPRIP的服務(wù)，很有可能是通過(guò)svchost.exe程序來(lái)運(yùn)行自身的。使用命令行來(lái)啟動(dòng)這個(gè)服務(wù)：

（3）Process Explorer分析

查找是哪一個(gè)進(jìn)程調(diào)用了Lab03-02.dll：

雙擊關(guān)注這個(gè)進(jìn)程：

發(fā)現(xiàn)svchost.exe進(jìn)程調(diào)用了Lab03-02.dll，可以看到這個(gè)進(jìn)程具有惡意代碼的特征字符串。
在ProcessMonitor中按進(jìn)程PID號(hào)過(guò)濾：

可以看到有多項(xiàng)更改：

（4）使用Wireshark分析

Wireshark抓包一開(kāi)始沒(méi)有反應(yīng)，過(guò)了一會(huì)兒才開(kāi)始有包出現(xiàn)：

可以看到第一個(gè)是一個(gè)DNS解析，網(wǎng)址仍是practicalmalwareanalysis.com，ping一下找到ip進(jìn)行過(guò)濾：

4. 實(shí)踐三：lab03-03.exe

（1）簡(jiǎn)單靜態(tài)分析

沒(méi)有加殼，編譯器是VC6.0：

在PEview中我們發(fā)現(xiàn)數(shù)據(jù)段有一串exe文件名，是svchost.exe

（2）注冊(cè)表快照

是干擾項(xiàng)，注冊(cè)表并沒(méi)有被修改：

（3）使用Process Explorer查看

剛一運(yùn)行Lab03-03.exe時(shí)：

Lab03-03.exe瞬間變綠變紅：

說(shuō)明Lab03-03.exe執(zhí)行后自行結(jié)束，遺留下孤兒進(jìn)程：

比較svchost.exe的磁盤鏡像字符串列表和內(nèi)存鏡像字符串列表：

兩者很明顯是更改過(guò)的。觀察內(nèi)存中的字符串列表，還可以看到一些信息：

可以通過(guò)這個(gè)進(jìn)程的PID過(guò)濾ProcessMonitor的選項(xiàng)

（4）使用Process Monitor

可以看到進(jìn)行了寫(xiě)文件操作：

而點(diǎn)開(kāi)寫(xiě)文件的操作，會(huì)發(fā)現(xiàn)會(huì)有連續(xù)的幾次都寫(xiě)入長(zhǎng)度為1的數(shù)據(jù)。

這些寫(xiě)文件的操作都是在一個(gè)名為practicalmalwareanalysis.log的文件中，這個(gè)文件是程序新創(chuàng)建的，寫(xiě)進(jìn)了Lab03-03.exe所在文件夾下：

查看這個(gè)文件：

顯示的信息時(shí)我之前在ProcessMonitor中輸入過(guò)濾信息時(shí)的字符，還有一個(gè)誤輸入的“a”也被記錄了下來(lái)。判斷這個(gè)惡意代碼用于鍵盤活動(dòng)記錄。

總結(jié)

以上是生活随笔為你收集整理的计算机病毒实践汇总三：动态分析基础(分析程序)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。