来源:http://bbs.ichunqiu.com/thread-8978-1-1.html?from=ch
课程链接:http://www.ichunqiu.com/course/145
实验工具:
strings xxx.exe //查看有哪些可打印的字符
petools 查看pe结构
virscan 在线查毒工具
free upx 用于脱upx的壳
linxerunpacker 通用的脱壳工具
resource hacker 可以将目标程序中的资源提取出来
实验思路:
1.利用网络扫描工具对目标程序进行扫描
2.利用本地静态分析工具分析目标程序
3.提取资源中的内容
实验步骤:
1.使用在线扫描工具进行扫描(使用的是virscan)
2.使用peid查看是否加壳
发现没有加壳,用vc++编写的
3.使用petools查看文件编写时间
很明显时间被作者修改过
4.看一下导入了哪些函数(使用peid)
以下这几个函数是病毒经常调用的函数,createfile用于文件的创建,writefile用于文件的写入,winexec可以用于执行一个文件
findresource和sizeofresource是关于资源的函数,也要引起注意
有一个getwindowsdirectory这个api函数,此函数可以获得windows目录,恶意程序可能会通过此函数将自身复制到系统目录下
在advapi32.dll中的那三个函数可以用来提升权限
5.查看有哪些行为
可能会进行网络通信
6.提取资源
大概看一下可以知道应该是PE文件
将他保存为二进制文件
使用petools具体查看是哪种PE文件(PE文件分为两种:exe和dll)
将新生成的二进制文件拖到petools里然后查看文件头
15.png(122.67 KB, 下载次数: 0)
半小时前上传
看到dll没有打勾说明是exe文件
目前就学了这些,以后会继续努力学习
