[一次恶意软件安静态分析.docVIP

一次恶意软件静态分析 简述：只是对两个软件通过使用几个静态分析工具进行简要分析，了解它的基础信息。 分析对象：Lab01-01.exe、Lab01-01.dll 使用工具：windows提供的系统分析包中的PEid， strings，PWview，dependency，resource hacker，WinMD5 开始分析1：La:01-01.dll 使用工具1：PEid 得出现象：如图1 初步结果：说明这是一个用C++6.0编译出来的.dll文件，但是并没有识别出被加壳过，至于入口点，文件偏移，连接器版本，PE段，首字节，子系统类的值就不一一介绍了。 使用工具2：strings（这一微软提供的一个系统分析工具包的一个工具，只要是负责字符串搜寻）这工具需要自cmd上运行检查 得出现象：首先在cmd上运行strings.exe，运行步骤如图3： 接着输入strings Lab-1.dll（上面的路径是strings路径，最好将分析文件也放在同一位置，方便操作）得到结果如图4： 以上是挑选后的结果，发现有两个重要的结果1.点用到内核函数库Kernel32.dll函数库中的几个重要的函数，CreateProcessA，Sleep；2.调用网络链接库，外加上一个IP地址，这更坚信其实用到http服务 初步结果：有以上的现象初步判断这是一个需要使用到网络的.dll文件，而且结合Kernel32.dll文件中的sleep函数，或许是可以通过网络控制目标系统进入睡眠。还有一点，.dll必须有一个工具进行辅助（调用它里面的函数，达到目的，这就是Lab-1.exe文件）。 使用工具3：dependency 得出现象：首先查看她对Kernel32.dll文件的调用，如图7： 然后再查看它对WS2_32.DLL，如图8： 首先可以看出这一个通过序号引索调用函数的方法，需要进行人工的匹配，匹配出重要的结果是调用几个可以函数，如图9： 调用到send函数，初步判断是需要往外发处数据。 分析WS2_32.dll，得到解初步结果如图10： 调用大shutdown函数，初步判断是通过后门进行系统重启 如图11： 调用到WSACleanup，初步判断是事后进行缓存数据清除，清除痕迹。 如图12： 调用到inet_addr函数，初步判断是获取网络IP地址，与后门主机连接。 如图13： 调用connect函数，出判断是连接网络。 初步结果：综合上述调用的函数及初步判断，可以进一步判断，该.dll文件，是根据设定的IP地址，连接网络中的目标IP，然后发送数据，通过后门进行远程重启，然后清除缓存数据。 使用工具4：PEview（这是一个比较细的对PE致查找工具） 得出现象：首先是分析出它的文件头数据如图16： 分析出它的文件可扩展头的数据如图17： 再重点查看他需要调用到的数据（主要是导入导出表）如图18： 这吻合上面其他工具的分析结果，调用到了Kernel32.dll文件 和 WS2_32.dll及MSVCRT.dll文件及他们里面的一些函数。 上面的数据是.rdata区段的数据，接下来还有.data（可读写，存储的是可修改的数据，例如指令之类的）区段，如图19： 这些都是精华数据啊，这是WS2_32.dll文件需要到的数据，这里有exec，sleep，hello，127.26. 52.13 SADFHUHF。exec字符串可能是通过网络接收IP为3给后门程序传送指令，执行睡眠sleep指令 初步结果：进一步确认前面工具分析得到的结果，Lab-1.dll文件主要是实现一个程序后门的功能，通过网络进行传送执行睡眠指令。 使用工具5：resource hacker（这是一个文件资源分析工具，主要是分析某个.dll文件或者.exe文件的资源目录） 得出现象：很多时候用resource hacker分析.dll文件，都是空白的，所以有些病毒分析师并不会怎么将.dll文件放到resource hacker中进行分析。但是有些病毒攻击者正是；利用了这点。将病毒嵌入到.dll文件的资源文件中。该文件在resource hacker中的分析结果如图24： 这说明这个.dll文件的资源段并没有被嵌入病毒。 初步结果：该文件的资源段属于正常，没有被查出人和资源信息。 使用工具6：WinMD5（用于查询文件的哈希值） 得到结果：290934c61de9176ad682ffdd65f0a669 Lab01-01.dll 分析对象的分析结果：该文件并没有加壳，其次这是一个需要通过联通网络，然后接受目标IP：3传