Lab 1-4
分析Lab01-04.exe文件。1、将Lab01-04.exe文件上传至http://www.VirusTotal.com进行分析并查看报
告。文件匹配到了已有的反病毒软件特征吗?
2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?
如果该文件被加壳,请进行说壳,如果可能的话。
3、这个文件是什么时候被编译的?
4、有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
5、有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
6、这个文件在资源段中包含一个资源。使用Resource Hacker.工具来检查资源,然后抽取资源。从资源中你能发现什么吗?操作场景:
windows xp sp3实验工具:
PEiD v0.95
Strings
Resource Hacker(新工具-可以将资源提取出来)
PETools
VirSCAN.org实验文件:
Lab01-04.exe1.利用网络扫描工具对目标程序进行扫描
2.利用本地静态分析工具分析目标程序
3.提取资源中的内容
1
查壳无壳就不说了,然后用loadpe的pe编辑器查看程序编译的时间
由于作者的视频教程是2015年录制的,所以这个2019年的时间显然不准确啊,是被恶意修改了的。
WinExec可以执行一个程序,可以看到他有很多的关于Resource的资源的操作的API
还有以上一些关于提权的API
看到最后一个网址,很有可能就是恶意程序要打开的网址
system32wupdmgrd.exe有可能就是将自己改名放到了这个system32目录下
URLDownloadFileA很明显就能看到用于后台下载的API
WinExec配合执行这个程序
GetWindowsDirectoryA用于获取本地系统的Windows的目录,一般的作用就是将自己拷贝到windows的目录里去,目的主要的是为了混淆,让人以为他是正常的程序。
为了验证是否为exe程序,继续用loadPE软件查看特征值