步骤如下
1.分析样本来源于恶意代码分析实战课后题目的样本,lab3-01.exe,链接就不贴了,百度一搜就可以搜到了。
2.首先在虚拟机里准备好必要的工具,静态分析工具包括PEView,strings,(IDA),Dependency Walkler,Resource Hacker,PEID,PEexplorer等。动态分析工具包括process monitor,process explorer,ApateDNS,RegShot等。
3.首先对样本进行静态分析。
• PEID 查壳
发现是个加壳程序,估计导入表和字符串应该看不到什么有用的信息了。
• PEVIew
抱着可能有意外之喜的心态,打开Peview,查看导入表,果不其然,只有一个ExitProcess函数,
• Strings
用strings.exe程序查看字符串,发现字符串并没有被混淆,看到了很多字符串,其中vm32to64.exe看起来像是一个释放的可执行文件,后面的注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run是启动项的位置,猜测程序添加了开机自启动。还有一个网址www.practicalmalwareanalysis.com 程序应该是有联网活动。其实导入表和字符串也可以通过IDA来看,总之方法很多。
4.动态分析
首先运行process monitor,process explorer,ApateDNS,regshot,等工具。然后运行样本程序,果然在ApateDNS中发现了联网活动。
在process monitor 中监控到了设置注册表启动的现象。注意要晓得哪些东西是系统正常的行为,即噪声,如图除了第二条其他都是噪声。在文件界面我们选择过滤创建文件和写入文件,如图发现了向vmx32to64.exe写文件的行为。此时要注意该程序的大小是否和样本的大小一致,判断是否是复制行为。
