说明加过壳了(果然如此,加的是UPX壳)
使用脱壳机直接脱壳:
脱完壳以后发现变得正常了:
发现其创建了一个服务:重点怀疑的对象:
发现其有联网的操作:(表明这个程序开了后门!)
利用strings 命令:(拖进去的是脱完壳以后的情况)
总结:
通过第一篇和第二篇的学习,简单总结一下病毒分析的一些前置步骤:
1.先将其拖至www.VirusTotal.com等相关网站检测;
2.可以利用010Editor查看其PE完整结构;
3.PEID登场,将文件拖进去之后可以判断其有没有加壳,加混淆等
4.利用PEID查看其导入表,是否有敏感API,可以对其行为进行推测,常见的敏感API以及dll有:(会不断更新)
ws2_32.dll(说明使用到了Socket套接字,)
kernel32.dll中的一些敏感API:sleep,createProcessA;CopyFileA;CreateServicesA,InternetOpen(InternetOpenurlA)(说明此程序连接后门了),CreateFileA,FindFirstFileA;FindNextFileA;
如果发现其没有输出表,则表明此文件十分可疑!!!
5.利用cmd中strings命令!