恶意代码分析实验报告.pptVIP

小组成员：孙 骞 胡 蒙 恶意代码分析实验报告 基础综述 实验过程 心得体会 基础概述 恶意代码（malicious code）是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意软件的传染的结果包括浪费资源、破坏系统、破坏一致性，数据丢失和被窃并能让客户端的用户失去信心。 基础概述 恶意代码的分析方法可分为两大类：静态分析、动态分析。 静态分析不运行程序，通常先进行反汇编；分析控制流与数据流确定功能； 动态分析：运行时分析，对于混淆、自变化程序有免疫性，但是运行哪段代码需要慎重选择。 本次实验分析的名为RaDa的恶意代码 实验过程 将rada.rar在虚拟机解压，并运行MD5对其进行校验，得如下信息摘要： 实验过程 运行wireshark、Filemon、Regmon ，执行RaDa.exe。我们发现RaDa.exe在C盘根目录下生成了两个子目录：bin和tmp。 实验过程 Filemon监控发现RaDa.exe文件激活，并将木马文件释放到了bin中。 实验过程 注册表监控发现rada.exe在注册表的启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立了RaDa的键值，并将C:\RaDa\bin\ RaDa.exe路径添加了进去。 实验过程 我们用ollydbg打开rada.exe 后发现入口处的汇编代码是典型的UPX加壳后程序的入口代码。 实验过程 通过脱壳，并用IDA对脱壳后的二进制文件进行反汇编，发现了该程序的运行参数 实验过程 我们运行其中一个参数“--gui” 实验过程 得到了该程序的运行界面 实验过程 我们利用IDA查看，发现RaDa.exe还使用cgiget和cgiput等参数，而且，通过FileMon和RegMon发现RaDa除读取注册表和文件信息外，没有更多改写文件和注册表等行为。 综合判断，该程序不大可能是病毒和蠕虫，而更有可能是一个比较典型的主动反弹型木马或者后门程序。 心得体会 通过实验，我们初步学习到了一些简单的恶意代码分析方法和手段，对网络安全有了一定的认识,也为今后在相关方面的研究打下了一定的基础。 谢谢！