Lab03-03
问题及分析:
问题1
当你使用Process explorer工具进行监视时,你注意到了什么?
使用PEiD查看发现未加壳
使用Dependency Walker查看,结果如下:
导入函数中:
CreateFileA:可以创建文件
CreateHandle:创建进程
FindSource: 查找资源
FreeEnvironmentStrings:释放环境字符串
Sleep:隐藏自己
还有大量对文件字符的操作
所以估计这个恶意程序应该是对内存里文件做出恶意修改或者删除
下面运行该程序,并用用Process Explorer工具进行监视:
运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个svchost.exe
然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)
会发现Lab03-03.exe创建了一个svchost.exe
然后Lab03-03.exe退出,只留下svchost.exe
我的猜想是恶意代码执行了对svchost.exe文件的替换
问题2
你可以找出任何的内存修改行为吗?
我们用Process Explorer点中那个单独出来的svchost.exe
然后在Image和Memory单选按钮之间切换
会发现这两个明显不一样
然后把Memory中的字符串往下拖会发现
因为practicalmalwareanalysis.log的字符串,还有就是[ENTER]和[SHIFT]
这都是不会在正常的svchost.exe出现的Image
正常的svchost.exe里的Image和Mermory都是相同的。
然后出现了[ENTER]和[CAPS LOCK]这些字符串,这个很可能是个击键记录器
我们随便打开虚拟机界面开一个文本乱敲一下看
然后根据PID来在procmon中创建一个过滤器
我们就可以发现这个程序一直在不断的CreateFile和WriteFile
然后我们找到这个log文件,其实就在可执行程序的同一个目录下
test.txt是我为了测试新建的,然后打开这个log文件,就可以看到记录下来的信息了
注意文中出现的[ENTER],记录了键盘输入的信息,还有该主机打开文件的记录等
问题3
这个恶意代码在主机上的感染迹象特征是什么?
根据上面的分析,迹象就是创建了一个praticalmalwareanalysis.log文件
问题4
这个恶意代码的目的是什么?
通过上面的分析,和上传到VirusTotal网站的信息来推测,该恶意程序可能是一个键盘记录器
关键提示和要求:
1、静态分析,从导入函数中估计恶意程序的功能;
2、启动Process Explorer和procmon工具;注意procmon关闭事件捕获功能;
3、运行Lab03-03.exe时,注意ProcessExplorer状态变化。
4、在ProcessExplorer中,svchost.exe是否是一个孤儿进程?
选择svchost.exe,两次右键点击Properties,出现两个属性窗口,均选择Strings页面。该页面的左下角为Image和Memory两个选项。一个Strings页面选择Image(磁盘镜像),另一个Strings页面选择Memory(内存镜像);比较两个镜像的不同嗲,注意内存镜像中出现“practicalmalwareanalysis.log”的字样,请问这说明了什么?另外,[ENTER]和[CAPS LOCK]字符串说明程序很可能是击键记录器。5、配置Procmon,过滤出svchost进程的PID;
打开事件监控;
打开记事本,录入一些信息;
关闭事件监控;
分析捕获的关于svchost进程的信息;6、打开practicalmalwareanalysis.log;确认该恶意程序的用途。
引用
《 Practical Malware Analysis 》 By Michael Sikorski, Andrew Honig · 2012
以及网上前辈的一些作品,由于查阅过多过细,这里就不一一例举。