轩辕三官 发布于2022年11月8日 分享 发布于2022年11月8日 具体任务 以静态分析为基础,对相应代码进行初步动态分析,要求体现出: 1.静态分析确定的线索 2.动态分析对上述线索的验证分析过程 3.动态分析的结论 4.动态分析中尚不能确定,有待进一步分析的内容 详细过程 1.静态分析确定的线索 首先,用Stud_PE打开查看本程序中的函数 通过上一次的静态分析,可以知道最主要的两个函数是CreateServiceA和InternetOpenA,我们由此猜测他的功能主要是创建一个服务然后联网使用一些信息。 使用strings分析查看结果: 此时查看不到什么有用的信息,因为我们为对他进行脱壳。将脱壳以后的文件unpacked再用strings分析一遍: 此时我们看到一个网站:www.malwareanalysisbook.com 以及Internet Explorer 8.0。我们猜测此文件病毒是创建一个服务去联网访问此网站,然后获得某些文件夹的属性来实现病毒里的功能。 2.动态分析对上述线索的验证分析过程 首先打开Process Explorer和Process Monitor这两个动态分析工具,然后打开Lab01-02.exe 然后再在Process Monitor中筛选PID:1292,查看该文件执行后具体的执行内容。 3.动态分析的结论 我觉得在执行此病毒文件时,在计算机中创建了一个服务一直访问之前找到的网站www.malwareanalysisbook.com,根据Process Monitor中的信息可以看到病毒还创建了文件且赋予一些操作权限。 4.动态分析中尚不能确定,有待进一步分析的内容 在我的判断猜测中,此程序是创建了一个能够联网的服务,但在Process Monitor中查看不到网络活动,不知道此程序到底需不需要联网。以及该程序创建文件赋予的权限具体是什么。 链接帖子 意见的链接 分享到其他网站 更多分享选项…
推荐的帖子