首页
论坛
课程
招聘
[病毒木马] [原创]恶意代码的简单分析lab01-01
2021-3-18 21:57 1706

[病毒木马] [原创]恶意代码的简单分析lab01-01

2021-3-18 21:57
1706

一、基本概况

第一次恶意样本实战分析,会从lab01-01开始分析,会不定时进行更新,每一次分析都在此进行了记录,例题出自《恶意代码分析实战》Michael Sikorski Andrew Honig 著 诸葛健伟 张光凯 译

二、分析环境及工具

系统环境:windows x32 专业版

 

工具:die、Exeinfo PE、dependency walker、火绒剑

 

分析方式:静态分析

 

恶意代码类型:典型的后门

三、具体分析步骤

1、当然,最开始应该上传病毒样本到网站上,让多个反病毒引擎来进行扫描检测,这样就可以生成报告,提供了所有引擎对这个样本识别的情况。类似VirusTotal(https://www.virustotal.com/)这样的网站

 

2、如果没有那么就开始自己分析,首先对使用Die查看工具对程序编译时间进行查看发现两个文件程序编译时间不超过1分钟,由此可以推断出,这两个文件是出自同一个作者。

 

我们知道,这些文件是关联的,因为他们的编译时间与被发现的位置。这个.exe文件可能是用来使用或安装.dll文件的,因为.dll链接库无法运行自己。

3、使用Exeinfo PE攻击查看这两个文件并没有进行加壳,并且是使用VC6.0编写的


4、但是呢,发现这DLL文件中并没有导出的函数,这并不正常

 

5、通过dependency walker工具把两个不同文件的输入表中使用的函数全部拿出进行分析,这里把此函数和在火绒剑提取的字符串比较了一下,发现是相同的这里就不在截图了,可以去看从火绒剑中提取的字符串。dependency walker工具主要作用在于,当使用序号的时候,可以通过使用的序号找到对应的函数

 

 

6、使用火绒剑来对字符串进行提取后进行分析。发现kelne132.dll可作为识别恶意代码的重要特征

四、总结

这次分析,让我对后门的恶意代码的这种类型有了最基本的理解。


第五届安全开发者峰会(SDC 2021)议题征集正式开启!

最后于 2021-3-19 09:07 被APT_华生编辑 ,原因:
收藏
点赞4
打赏
分享
最新回复 (3)
雪    币: 637
活跃值: 活跃值 (582)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Endali 活跃值 2021-3-18 22:36
2
0
写得不错,继续加油
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
CycloneChen 活跃值 2021-3-19 19:13
3
0
厉害啊,大佬
雪    币: 243
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_othzuqqm 活跃值 2021-3-30 15:24
4
0
写的不错  继续努力
游客
登录 | 注册 方可回帖
返回