准备工具:WireShark,Process explorer,Process monitor
添加,确定
虚拟机进行联网,(运行程序)
用PEID(发现其加过壳,输入表里面只有API,说明其是隐藏的)
查看其字符串列表,用Strings命令(有可能开了后门)
Process monitor中只保留注册表与文件的监控;操作 is writeFile+RegSetValue看其在注册表里面写了那些东西;
点击这两个-->点ok
发现其将自身拷贝到System32目录下
双击看一下:
发现其本体也是7168
为了严谨一些,最好验证两个文件的MD5码
下面看RegSetValue
刚刚在Strings下面已经获知在CurrentVersion Run下面写了一个键值;
可以双击看一看:(发现其目的就是启动System32下面这个文件)
开机启动之后;此程序也就能自启动
下面这几个用于随机数的生成
Process explorer
看一看Dll:
发现有两个Dll是和联网相关的
综上:
将自身拷贝到System32下,并且修改注册表,使得自己在开机的时候就能自行启动
下面看WireShark
ssl为我们所收到的数据包,可以双击看一看
接受的内容:(256字节),可以对比多个这样的包
DNS请求:
总结:
1.使用PEID等工具查看相关可疑API,主要查看其导入表
2.查看其字符串
3.其实可以利用火绒剑查看监控其行为(RegSetValue,Write File)
4.判断其有没有联网开后门:
1)利用Strings查看有没有出现网址
2)利用PEID查看有没有可疑的API,常见的有:
,InternetOpen(InternetOpenurlA);URLDownloadToFileA(下载文件),
WinExec(执行exe)
3)利用WireShark查看有没有DNS
5.其他的一些可疑API总结:
GetWindowsDirectoryA(获取系统目录):很多恶意程序吧自身复制到系统目录下面
FindResourceA,LoadResource对资源操作的API
提高自身权限的几个API(提高自身权限就可以查看一些受到限制的资源)
OpenProcessToken
LookupPrivilegeVakueA
AdjustToTokenPrivileges
6.可疑利用ResourceHacker这个工具查看资源
