当前位置:   article > 正文

恶意代码分析实战——静态分析基础技术_恶意软件静态分析

恶意软件静态分析

对Lab01-01.exe和Lab01-01.dll进行分析
问题

  1. 将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?

首先查看Lab-01-01.exe。
chrome_wFdEMK6bBe.png
然后查看Lab01-01.dll。
chrome_5vVPK0iPYf.png
这两个文件应该都是恶意文件。

  1. 这些文件是什么时候编译的?

查看PE文件的结构:
ApplicationFrameHost_h9WWpHS2zK.png
通过PE Tools查看文件头:
vmware_qXZYiq1B2e.png
Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.
Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.
这两个文件编译的时间非常接近,极有可能就是同时编译的。

  1. 这两个文件中是否存在迹象说明它们是否被加壳或混淆?如果是,这些迹象在哪里?

vmware_zrzCi9wKnl.pngvmware_RK25RRT7Tx.png
两个文件都没有加壳迹象。

  1. 是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?

Lab-01-01.exe :
vmware_Eipyi34CUt.png
导入函数有很多,一个一个看:
Kernel32.dll

  • CloseHandle:关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等。在CreateThread成功之后会返回一个hThread的handle,且内核对象的计数加1,CloseHandle之后,引用计数减1,当变为0时,系统删除内核对象。
  • CopyFileA:将现有文件复制到新文件。
  • CreateFileMappingA:为指定文件创建或打开命名或未命名的文件映射对象。
  • FindClose:关闭由 FindFirstFile、FindFirstFileEx、FindFirstFileNameW、FindFirstFileNameTransactedW、FindFirstFileTransacted、FindFirstStreamTransactedW 或 FindFirstStreamW 函数打开的文件搜索句柄。
  • FindFirstFileA/FindNextFileA:用于搜索文件目录和枚举文件系统的函数。
  • IsBadReadPtr:验证调用进程是否具有对指定内存范围的读取访问权限。
  • mapViewOfFile :映射一个文件到内存,将文件内容变得通过内存地址可访问。启动器、装载器和注入器使用这个函数来读取和修改PE文件。通过使用mapViewOfFile 函数,恶意代码可以避免使用WriteFile来修改文件内容。
  • UnmapViewOfFile**
    声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/725050
推荐阅读
相关标签