恶意病毒逆向分析实验1

简介: 恶意病毒逆向分析

何为病毒?一种破坏计算机正常运行的程序

常规的挖坑病毒,最近某平台的勒索病毒,打红队一下木马程序等。

本篇主要讲解静态分析手法

何为静态分析?

在不运行病毒的情况下,进行信息收集

PE文件概述

链接库与函数

常用的windows dll都有哪些作用

实验1

640.png

1. 属于木马文件

2.文件编译时间

pe explorer可以看到 2010.12.19创建的

3. 程序未做混淆

4. 是,导入函数有很多,如查看文件,创建文件,复制文件,查看文件夹下所有文件,这些导入函数都是windows api的接口,恶意病毒之所以能运行都是基于windows api进行操作

640.png

5.使用strings对文件进行数据查看 会释放这个文件,windows正常文件是大写开头 C:\Windows\System32\xxxx.dll

640.png

6. 有网络特征,如果存在攻击,链接网络中将会出现这个ip的链接

7. 存在一个exe 一个dlldll默认不会自己运行,那么exe会调用此dll,由于exe会创建一个kernel32.dll,以小写路径混淆,那么自带的dll可能是kernel32.dll原型,对dll进行分析,有sleep函数 exec函数,推测出可执行命令,有延迟,可查看,创建文件,并且需要联网,故为木马文件,区域内排出木马,一,查找小写路径的kernel32.dll文件,查看链接是否有127.26.152.13外链ip。

实验2

1.有特征木马文件

640.png

2. 检测pe发现被加壳了存在upx

如果程序被加壳会发生什么,显示的信息不全,如查看导入函数,只有四五个,正常情况有十几个或者几十个

尝试脱壳

o 脱壳后的文件,d 需要脱壳的文件

upx -o Lab01-021.exe -d Lab01-02.exe

3. 序功能  建线程,创建服务,打开链接

4. 特征存在一个链接

实验3

1.是病毒文件,木马

2. 加壳了,FSG v1.0

640.png

640.png

尝试脱壳 因为不会使用od脱壳,所以查找脱壳工具,一个一个试

3. 查看导入函数

百度搜了下,ole.dll文件的对象嵌入功能允许用户从一个应用程序(源)被嵌入在另一个应用程序(目的地)获得的数据。,猜测可能是调用另一个恶意软件的。

4. 存在链接特征

实验4

1.恶意文件

2. 未加壳

3. 编译时间

640.png

4. 写文件加载资源创建文件移动文件获取临时路径感觉像是加载器或者下载器

5. 特征是 下载了一个文件,可以基于这个文件查找

6.  使用Resource Hacker打开exe,然后导出raw格式,放入工具, 查看导入函数从链接下载文件的功能







相关文章
|
6月前
|
安全
恶意软件分析
恶意软件分析
82 0
|
分布式计算 安全 网络协议
Zerobot僵尸网络出现了新的漏洞利用和功能
Zerobot僵尸网络出现了新的漏洞利用和功能
|
云安全 监控 安全
攻击者使用showDoc的漏洞传播僵尸网络
近日,阿里云安全团队基于威胁情报挖掘网络攻击日志的过程中,发现了使用showDoc漏洞传播僵尸网络和挖矿软件的攻击事件,使用该手法传播僵尸网络暂未被公开报告过。
1416 0
攻击者使用showDoc的漏洞传播僵尸网络
|
安全 API 数据安全/隐私保护
|
安全 数据安全/隐私保护 Windows
|
安全 网络安全 Windows