本文已参与「新人创作礼」活动,一起开启掘金创作之路。
Lab1-4
目录
2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析
2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
利用PEiD发现无壳。
编辑
3.这个文件是什么时候被编译的?
编辑 4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
编辑
对资源节进行操作:LoadResource、FileResource、SizeofResource
从资源节中加载数据,写一个文件到磁盘上:CreateFile,WriteFile
执行磁盘上的文件:WinExec
将文件写到系统目录:GetWindowsDirectory
获得进程的文件描述符,也是为了操作远程的进程:OpenProcess、GetCurrentProcess
可以运行另一个程序:WinExec
编辑
可以通过令牌的方式确保只运行一个进程在系统中:AdjustTokenPrivileges
可以去查找用户的登录信息等系统敏感信息:LookupPrigilegeValueA
5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
利用ida来查看
编辑
\\system32\\wupdmgr.exe、\\winup.exe的程序
psapi.dll、sfc_os.dll的动态链接库
好的,我无法判断了。
6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗? 依次分析
将文件导入进Resource Hacker中
编辑
然后将资源保存成二进制文件进行保存,保存成exe文件
编辑
导入进ida再进行分析
编辑
出现了一个网站www.practicalmalwareanalysis.com
