一次恶意软件安静态分析..docVIP

一次恶意软件静态分析 简述：只是对两个软件通过使用几个静态分析工具进行简要分析，了解它的基础信息。 分析对象：Lab01-01.exe、Lab01-01.dll 使用工具：windows提供的系统分析包中的PEid， strings，PWview，dependency，resource hacker，WinMD5 开始分析1：La:01-01.dll 使用工具1：PEid 得出现象：如图1 初步结果：说明这是一个用C++6.0编译出来的.dll文件，但是并没有识别出被加壳过，至于入口点，文件偏移，连接器版本，PE段，首字节，子系统类的值就不一一介绍了。 使用工具2：strings（这一微软提供的一个系统分析工具包的一个工具，只要是负责字符串搜寻）这工具需要自cmd上运行检查 得出现象：首先在cmd上运行strings.exe，运行步骤如图3： 接着输入strings Lab-1.dll（上面的路径是strings路径，最好将分析文件也放在同一位置，方便操作）得到结果如图4： 以上是挑选后的结果，发现有两个重要的结果1.点用到内核函数库Kernel32.dll函数库中的几个重要的函数，CreateProcessA，Sleep；2.调用网络链接库，外加上一个IP地址，这更坚信其实用到http服务 初步结果：有以上的现象初步判断这是一个需要使用