在嘗試學(xué)習(xí)分析的過程中，判斷結(jié)論不一定準(zhǔn)確，只是一些我自己的思考和探索。敬請批評指正！

1. 實踐內(nèi)容

搜索、下載并執(zhí)行Process Monitor，觀察隨著時間的推移，軟件所記錄信息；設(shè)置監(jiān)控條件對惡意代碼敏感的功能進(jìn)行監(jiān)控。
搜索、下載并執(zhí)行Process Explorer，查看進(jìn)程列表，選擇相應(yīng)進(jìn)程進(jìn)行簽名驗證，對比其硬盤上的文件和內(nèi)存中的鏡像，結(jié)合Dependency Walker對其所載入的dll文件進(jìn)行比對。
搜索、下載并執(zhí)行Regshot，觀察注冊表的變化情況。

2. 實踐一：lab03-01.exe

（1）簡單靜態(tài)分析

使用常用工具查看：

本程序被加殼，只能看到一個導(dǎo)入函數(shù)。

雖然是加過殼的，但是可以看到比較多的信息：

有一些路徑、一個網(wǎng)址：可能有聯(lián)網(wǎng)下載的操作
一個exe程序名：可能是寫入的惡意程序
注冊表自啟動項鍵值：可能程序要把自己寫入自啟動項

在之后的分析中應(yīng)該關(guān)注網(wǎng)絡(luò)連接和下載、注冊表更改、新程序的寫入的操作。

然后就可以開啟監(jiān)視工具并運行Lab01-03.exe進(jìn)行簡單的動態(tài)分析了。

（2）使用Process Monitor分析

由于這個工具監(jiān)視的項目過多，進(jìn)行過濾操作：對Lab03-01.exe程序?qū)ψ员礞I值的更改操作、寫文件的操作過濾顯示。

可以看到：

惡意代碼在系統(tǒng)盤下寫入了一個新程序vmx32to64.exe（就是之前看到的那個exe字符串），這個新的可執(zhí)行程序的長度為7168。實際上，它與Lab03-01.exe程序本身長度是一致的：

可以推測它將自己復(fù)制到了system32文件夾下。

再看過濾出的寫入注冊表值：

顯示對注冊表鍵值的更改成功。雙擊查看詳情：

可以看到寫入的注冊表自啟動項鍵值的數(shù)據(jù)，路徑就是剛創(chuàng)建的那個可執(zhí)行程序。

（3）使用Process Explorer分析

開啟Process Explorer：

可以看到Lab03-01.exe是一個已經(jīng)運行的進(jìn)程。查看這個進(jìn)程連接的dll：

這個程序應(yīng)該是有聯(lián)網(wǎng)的操作。對dll進(jìn)行簽名驗證：

查看內(nèi)存鏡像和硬盤鏡像中可執(zhí)行文件的字符串列表（之前驗證的是磁盤上的鏡像而不是內(nèi)存中的，通過這樣的比較可以分析代碼是否有做手腳）：

（4）Regshot注冊表的變化情況

在運行Lab03-01.exe之前進(jìn)行一次注冊表快照，運行之后在進(jìn)行一次，并進(jìn)行比較：

可以看到顯示注冊表有一個值有改變：

鍵值名為VideoDriver，鍵值為C盤下system32中的vmx32to64.exe。

（5）網(wǎng)絡(luò)行為

由于分析它有網(wǎng)絡(luò)行為，所以用wireshark進(jìn)行抓包：

可以看到這個程序有一個向www.practicalmalwareanalysis.com連接的包，之后與這個ip（192.0.78.25）有數(shù)據(jù)傳遞的包。

（6）從主機上觀察現(xiàn)象

新增加了一個文件：

修改的注冊表鍵值：

3. 實踐二：lab03-02.dll

（1）簡單靜態(tài)分析

從PEiD中我們可以知道，這個dll文件是沒有加殼的，并且很可能開啟了一個服務(wù)：

導(dǎo)入函數(shù)顯示它很有可能是網(wǎng)絡(luò)相關(guān)的：

查看這個dll的導(dǎo)出函數(shù)有五個，而導(dǎo)出名部分看起來應(yīng)該是installA。

（2）運行這個dll程序

借助rundll32.exe工具運行起來這個dll：

查看注冊表的變化：

可以看到這個惡意代碼將自身安裝為一個IPRIP的服務(wù)，很有可能是通過svchost.exe程序來運行自身的。使用命令行來啟動這個服務(wù)：

（3）Process Explorer分析

查找是哪一個進(jìn)程調(diào)用了Lab03-02.dll：

雙擊關(guān)注這個進(jìn)程：

發(fā)現(xiàn)svchost.exe進(jìn)程調(diào)用了Lab03-02.dll，可以看到這個進(jìn)程具有惡意代碼的特征字符串。
在ProcessMonitor中按進(jìn)程PID號過濾：

可以看到有多項更改：

（4）使用Wireshark分析

Wireshark抓包一開始沒有反應(yīng)，過了一會兒才開始有包出現(xiàn)：

可以看到第一個是一個DNS解析，網(wǎng)址仍是practicalmalwareanalysis.com，ping一下找到ip進(jìn)行過濾：

4. 實踐三：lab03-03.exe

（1）簡單靜態(tài)分析

沒有加殼，編譯器是VC6.0：

在PEview中我們發(fā)現(xiàn)數(shù)據(jù)段有一串exe文件名，是svchost.exe

（2）注冊表快照

是干擾項，注冊表并沒有被修改：

（3）使用Process Explorer查看

剛一運行Lab03-03.exe時：

Lab03-03.exe瞬間變綠變紅：

說明Lab03-03.exe執(zhí)行后自行結(jié)束，遺留下孤兒進(jìn)程：

比較svchost.exe的磁盤鏡像字符串列表和內(nèi)存鏡像字符串列表：

兩者很明顯是更改過的。觀察內(nèi)存中的字符串列表，還可以看到一些信息：

可以通過這個進(jìn)程的PID過濾ProcessMonitor的選項

（4）使用Process Monitor

可以看到進(jìn)行了寫文件操作：

而點開寫文件的操作，會發(fā)現(xiàn)會有連續(xù)的幾次都寫入長度為1的數(shù)據(jù)。

這些寫文件的操作都是在一個名為practicalmalwareanalysis.log的文件中，這個文件是程序新創(chuàng)建的，寫進(jìn)了Lab03-03.exe所在文件夾下：

查看這個文件：

顯示的信息時我之前在ProcessMonitor中輸入過濾信息時的字符，還有一個誤輸入的“a”也被記錄了下來。判斷這個惡意代碼用于鍵盤活動記錄。

總結(jié)

以上是生活随笔為你收集整理的计算机病毒实践汇总三：动态分析基础(分析程序)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。