本文已参与「新人创作礼」活动,一起开启掘金创作之路。
Lab03-04
目录
使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。
一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。
查壳,发现程序并没有加壳,导入表中的dll,可以判断出程序有网络操作
可以看到导入表中具有复制文件、读写文件功能。
编辑
还有创造文件、创建进程等功能。
编辑
还有个getSystemDirectoryA函数用来获取系统目录。
编辑
关于注册表的操作、创建服务、删除服务等等。
编辑
在查看字符串的时候,发现了一个网址
编辑
系统函数
编辑
系统根目录
编辑
cmd.exe
编辑
1.当你运行这个文件时,会发生什么呢?
当运行程序Lab03-04.exe后,explorer发现Lab03-04.exe快速运行并打开了cmd.exe,然后进程直接消失了
编辑
2.是什么原因造成动态分析无法有效实施?
进程自删除。
3.是否有其它方式来运行这个程序?
运行process monitor进行分析,发现程序运行痕迹
编辑
查看它的资源节,很好,没有任何东东
编辑
没有能力去解决这个问题。
听说文件删除过程通过“C:\WINDOWS\system32\cmd.exe" /c del C:\TY\lab3\Lab03-04.exe >> NUL”完成,在Process Monitor中找到这个操作。
但这个我也找不到。
