综合运用各种分析工具,分析Lab03-01.exe的基本信息,并推测其功能。
2.实验环境(硬件、软件)VMware虚拟机(winxp):
硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz
软件:32位 *** 作系统
kali虚拟机
可以看到Lab03-01.exe已被加壳处理
③strings分析strings Lab03-01.exe
发现一些注册表信息和一个exe文件以及一个可以的域名
猜测分析可能会通过连接访问该网址下载某些木马文件或者通过vmx32to64.exe下载打开某些后门,,所以在动态分析中重点关注注册表修改信息和文件的增加删除以及联网 *** 作
Regshot拍摄第一次快照后运行Lab03-01.exe
运行Lab03-01.exe后记录第二次快照
点击compare将两次注册表信息对比后发现新增注册表键值
发现在自启动项VideoDriver中增加了键值43 3A 5C 57 49 4E 44 4F 57 53 5C 73 79 73 74 65 6D 33 32 5C 76 6D 78 33 32 74 6F 36 34 2E 65 78 65,将它换成字符为C:WINDOWSsystem32vmx32to64.exe,说明VideoDriver自启动项就是指向system32目录下的vmx32to64.exe
②process explorer分析打开explorer的下端窗口查看DLLs动态链接库
运行Lab03-01.exe后发现
在Lab03-01.exe中存在ws2_32.dll和wshtcpip.dll所以说明存在网络方面的 *** 作
③process monitor分析进入Filter窗口添加筛选条件
由于在之前静态分析时猜测该程序会下载vmx32to64.exe文件,顾在运行Lab03-01.exe后可以ctrl+F直接搜索vmx32to64.exe后
发现在windowssystem32路径下创建写入来vmx32to64.exe文件并且在在currentversionrun下创建了VideoDriver自启动项键值
来到windowssystem32目录下查看vmx32to64文件
查看它的MD5值发现它同Lab03-01.exe一样,所以得出结论Lab03-01.exe将自己复制到windowssystem32目录下,而在上面的注册表分析中VideoDriver自启动项键值指向了windowssystem32路径下的vmx32to64.exe
④ApateDNS网络访问分析
发现它访问了www.practicalmalwareanalysis.com这个网址
ApateDNS虚拟网络配置可参考文章《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》
Lab03-01.exe的功能将自己复制到system32目录下,并开机自启动
且Lab03-01.exe运行使访问www.practicalmalwareanalysis.com网址
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)