0%

恶意软件发现与分析第一章实验

Posted on 2022-10-17 Edited on 2022-11-06 In 恶意软件发现与分析课程实验 Views:

cp1-Labs

2022-10-13

Lab 1-1

将 Lab01-01.exe 和 Lab01-01.dll 上传至www.virustotal.com分析并查看报告，可发现两个文件都已被多家安全机构评估为恶意样本。

01

02

根据 viroustotal 提供的信息，可得文件的编译时间

03

04

是否有迹象说明这两个文件被加壳或混淆？

直接使用 PEiD 做检测，可得如下结果

05

1-5

可知两样本都为被加壳

使用 dependency Walker 打开 lab01-01.exe，查看导入表，发现其导入了 msvcrt.dll、kernel32.dll。其中前者是每一个执行文件都会包含的，后者则包含了文件的搜索、处理、修改操作。

使用 string 查看 lab01-01.exe 中包含的字符串，可发现其中存在用来混淆视听的 kerne132.dll

1-7

查看 lab01-01.dll 的导入表，可看到起导入了 WS2.dll，kernel32.dll 导入了 createprocess 和 sleep 函数。其中 create 函数可能用于运行程序，sleep 则用于进入休眠模式。lab01-01.dll 文件的 string 中有 IP 地址，属于基于网络的迹象。

lab01-01.dll 是一个后门程序，lab01-01.exe 是用于装载 dll 文件并运行的。

Post author: Xingyu-Wang
Post link: https://cswangxy.github.io/2022/10/17/cp1-lab/
Copyright Notice: All articles in this blog are licensed under BY-NC-SA unless stating additionally.