Lab 1-4
分析Lab01-04.exe文件。

问题

1、将Lab01-04.exe文件上传至http://www.VirusTotal.com进行分析并查看报
告。文件匹配到了已有的反病毒软件特征吗？
2、是否有这个文件被加壳或混淆的任何迹象？如果是这样，这些迹象是什么？
如果该文件被加壳，请进行说壳，如果可能的话。
3、这个文件是什么时候被编译的？
4、有没有任何导入函数能够暗示出这个程序的功能？如果是，是哪些导入函数，它们会告诉你什么？
5、有哪些基于主机或基于网络的迹象，可以被用来确定被这个恶意代码所感染的机器？
6、这个文件在资源段中包含一个资源。使用Resource Hacker.工具来检查资源，然后抽取资源。从资源中你能发现什么吗？

操作环境

操作场景：
windows xp sp3

实验工具：
PEiD v0.95
Strings
Resource Hacker（新工具-可以将资源提取出来）
PETools
VirSCAN.org

实验文件：
Lab01-04.exe

实验思路

1.利用网络扫描工具对目标程序进行扫描
2.利用本地静态分析工具分析目标程序
3.提取资源中的内容

1

查壳无壳就不说了，然后用loadpe的pe编辑器查看程序编译的时间

由于作者的视频教程是2015年录制的，所以这个2019年的时间显然不准确啊，是被恶意修改了的。

4

WinExec可以执行一个程序，可以看到他有很多的关于Resource的资源的操作的API

还有以上一些关于提权的API

5

看到最后一个网址，很有可能就是恶意程序要打开的网址

\system32\wupdmgrd.exe有可能就是将自己改名放到了这个system32目录下

URLDownloadFileA很明显就能看到用于后台下载的API

WinExec配合执行这个程序

GetWindowsDirectoryA用于获取本地系统的Windows的目录，一般的作用就是将自己拷贝到windows的目录里去，目的主要的是为了混淆，让人以为他是正常的程序。

6

使用资源工具，提取出这个资源文件，保存为二进制文件，假设为exe

为了验证是否为exe程序，继续用loadPE软件查看特征值

由于DLL并没有被勾选上，所以它就是exe文件