——————-Lab1.1——————————-

首先用网站查杀一下

https://virusscan.jotti.org/

http://www.virscan.org

/https://fireeye.ijinshan.com/

用PEtools打开,可以知道该文件的创建信息

我们用PEid来看看这个Lab1.exe和Lab1.dll是否被加壳,可以发现是没有加壳

我们再通过分析导入表来看看,有哪些函数可以看出这个程序执行了什么恶意代码

我们可以看到有这几个API函数

CreatFileA,FineNextFileA,FineFitstA,CopyfileA

CreatFileA 用于创建和打开一个文件,CopyFileA用于复制一个文件,一般来说病毒使用CopyFile最常用的就是把自己复制一个隐藏的位置(一般是复制到系统目录里面),从而达到混淆的目的

接下来我们分析一下Lab1.dll文件

可以看到 ws2_32.dll是Windows Sockets应用程序接口, 用于支持Internet和网络应用程序。 一般是用来实现联网的,但是这里我们很难通过序号来分析

我们再来看看KERNEL32.dll

我们可以看到sleep用来休眠,CreateProcessA用来创建进程,CreateMutexA这个是用来创建一个互斥量,像这些都是几个病毒程序经常使用的一些API函数

我们把Lab01-01.exe放入IDA进行分析

.data:0040304C 00000021 C C:\windows\system32\kerne132.dll我们可以发生这里出现了一个路径,而这里是123的1,也不是jkl的l,出现这个情况,那么我们可以认为这个程序他是想将自身或者其他程序改成kerne132.dll这样一个文件,放到系统目录下,用来混洗这样的一个操作。

那么我们再来分析一下dll文件

我们发现有一个ip地址是127.26.152.13,我们查询一下这个ip

可以看到这里是一个保留地址,因为这是一个实验,所以并不会有真实地址。但如果是真实的恶意程序,我们这个地址应当是这个病毒的作者想让我们访问的这样一个地址,想让我们访问链接到这个网址,进行程序的后台下载,或者说实现其他一些功能。

这个网址可以当作是我们的一个网络特征,而 C:\windows\system32\kerne132.dll 可以是基于主机的一个特征

程序的目的:因为dll文件本身是不能够运行的,或者说需要借助别的程序来使自己运行,而这里有一个exe程序可以使它运行,我们可以认为这个exe程序专门用来安装运行dll程序,这个dll程序有可能是一个后门程序

因为我们通过IDA分析,这里有个exec和sleep, 同exec和sleep结合时候的时候,我们需要关注一下,因为exec它可能是通过网络来给后门程序传送命令,让他通过CreateProcessA运行一个程序,而sleep可能是用于让后台程序进行休眠模式

——————-Lab1.2——————————-

首先用网站查杀一下

https://virusscan.jotti.org/

http://www.virscan.org

/https://fireeye.ijinshan.com/

我们用PEid来看看这个Lab1.exe和Lab1.dll是否被加壳,可以Nothing found,我们可以用一下深度扫描,发现这是一个UPX壳

这里我们用FreeUPX工具进行脱壳

这时候脱壳完的程序已经覆盖了原来加壳的程序。我们再用PEiD来查看

这里我们可以看到CreateMutexA创建了一个互斥,还用CreateThread创建一个线程

CreateServiceA创建了一个服务

发现有一个InternetOpenUrlA打开了一个URL网址…

——————-Lab1.3——————————-

这里我们用沙箱进行分析https://s.threatbook.cn/report/file/7983a582939924c70e3da2da80fd3352ebc90de7b8c4c427d484ff4f050f0aec/?sign=history&env=win7_sp1_enx86_office2013

发现这是一个加壳文件,我们用PEid来看看

果不其然,这是一个FSG1.0的壳,我们用通用脱壳工具解决

发现已经脱壳成功了

发现了一个URL,http://www.malwareanalysisbook.com/ad.html

我们来看一下PE结构的导入表

我们发现这里使用了COM组件对象模型

OleInitialize是一个Windows API函数。它的作用是在当前单元(apartment)初始化组件对象模型(COM)库

CoCreateInstance,函数名。用指定的类标识符创建一个Com对象,用指定的类标识符创建一个未初始化的对象。当在本机中只创建一个对象时,可以调用CoCreateInstance;在远程系统中创建一个对象时,可以调用CoCreateInstanceEx;创建多个同一CLSID的对象时, 可以参考 CoGetClassObject 函数。

——————-Lab1.4——————————-

我们先用PEid来查壳

这里我们选用沙箱进行分析https://s.threatbook.cn/report/file/0fa1498340fca6c562cfa389ad3e93395f44c72fd128d7ba08579a69aaf3b126/?env=win7_sp1_enx86_office2013

我们发现这里创建了一个可执行文件

发现了一个URL,我们访问了一个地址,还有进程崩溃

我们来看一些PE文件的导入表,我们可以看到CreatFileA是创建打开了一个文件,并且WriteFile对这个文件进行写入,像WinExec这个API函数,它是能够运行一个程序,这个的话也是一些后门程序所经常使用的API函数,他可以开启后门并且下载一个程序或者接受一个指令。还有一些关于资源的函数,可能会对一些资源进行相关的操作

这里可以看到这3个函数,很明显是进行提权,对系统进行提升权限从而实现更多的功能,而其他的话没有什么需要注意的了…

一些基于网络和主机的迹象…

在系统目录下创建了一个exe文件…并且访问了一个URL进行后台的一个文件下载

把该exe文件进行资源提取,我们发现里面还有个MZ开头,就是说还有个PE文件

发现了WinExeC、GetTempPathA,GetwindowsDirectoryA,URLDownloadA等危险的API函数

最后修改日期:2020年2月27日

作者