恶意代码分析实战 1 静态分析基础技术

1.1 Lab 1-1

对Lab01-01.exe和Lab01-01.dll进行分析
问题

1. 将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?

首先查看Lab-01-01.exe。

然后查看Lab01-01.dll。

这两个文件应该都是恶意文件。

2. 这些文件是什么时候编译的?

查看PE文件的结构：

通过PE Tools查看文件头：

Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.
Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.
这两个文件编译的时间非常接近，极有可能就是同时编译的。

3. 这两个文件中是否存在迹象说明它们是否被加壳或混淆？如果是，这些迹象在哪里？

两个文件都没有加壳迹象。

4. 是否有导入函数显示出了这个恶意代码是做什么的？如果是，是哪些导入函数？

Lab-01-01.exe ：

导入函数有很多，一个一个看：
Kernel32.dll

• CloseHandle：关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等。在CreateThread成功之后会返回一个hThread的handle，且内核对象的计数加1，CloseHandle之后，引用计数减1，当变为0时，系统删除内核对象。
• CopyFileA：将现有文件复制到新文件。
• CreateFileMappingA：为指定文件创建或打开命名或未命名的文件映射对象。
• FindClose：关闭由 FindFirstFile、FindFirstFileEx、FindFirstFileNameW、FindFirstFileNameTransactedW、FindFirstFileTransacted、FindFirstStreamTransactedW 或 FindFirstStreamW 函数打开的文件搜索句柄。
• FindFirstFileA/FindNextFileA：用于搜索文件目录和枚举文件系统的函数。
• IsBadReadPtr：验证调用进程是否具有对指定内存范围的读取访问权限。
• mapViewOfFile ：映射一个文件到内存，将文件内容变得通过内存地址可访问。启动器、装载器和注入器使用这个函数来读取和修改PE文件。通过使用mapViewOfFile 函数，恶意代码可以避免使用WriteFile来修改文件内容。
• UnmapViewOfFile** 本文内容由网友自发贡献，转载请注明出处：【wpsshop博客】