1 Lab07-01

本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题
问题

计算机重启后，这个程序如何确保它继续运行（达到持久化驻留）

首先，查看导入函数。

OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务，来保证它在系统被重启后运行，StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。

调用了StartServiceCtrlDispatcherA函数，这个函数被程序用来实现一个服务，并且它通常立立即被调用。
创建了一服务，这个程序创建服务MarlService，来保证它每次在系统启动后运行。

为什么这个程序会使用一个互斥量？

在此处的函数调创建了互斥量。

这段代码创建了一个名为“HGL345”的互斥量。这两对互斥量组合调用，被设计来保证这个可执行程序任意给定时刻只有一份实例在系统上运行。如果有一个实例已经在运行了。，则对OpenMuteA的第一次调用成功，并且这个程序就会退出。
接下来，这段代码调用OpenSCManager，它打开一个服务控制管理器的句柄，以便这个程序可以添加或者修改服务。下一个调用的是GetModuleFileName函数，它返回当前正在运行的可执行程序或一个被夹在DLL的全路径名。第一个参数是要获取路径名的模块句柄，或者将它设置为NULL来获取这个可执行体的全路径名。
这个程序使用一个互斥量，来保证在同一时间这个程序只有一份实例在运行。

可以用来检测这个程序的基于主机特征是什么？

主机特征是一个名为HGL345的互斥量，以及MalService服务。

检测这个恶意代码的基于网络的特征是什么

再之后是调用createserviceA来创建一个新的服务。Createservicea调用有许多参数，关键的参数如binarypathname,dwstarttype,dwservicetype.Dwstarttype这里是0x02，对应的是service_auto_start，说明这个服务在系统启动时自动运行。

ida标记了systemtime结构体，是windows多个结构体之一。由xor edx,edx及之后的指令可知，程序中该结构体的所有值首先被设置为0然后表示年yaer的值被设置为834h，10进制的2100，该事件表示2100年1月1日的午夜，之后通过systemtimetofieltime,在不同时间格式之间转换。

可以看到调用了setwaitabletimer，关键参数为lpduetime,这个参数是systemtofiletime返回的filetime，然后通过waitforsingleobject进入等待，直到2100年1月1日。接下来看到了一个循环。

这个恶意代码使用用户代理 “Internet Explorer 8.0”，并不断的访问 “http://www.malwareanalysisbook.com”。

这个程序的目的是什么

这个程序等待到2100年1月1日的半夜，那时发送许多请求到 “http://www.malwareanalysisbook.com” ，带盖是为了对这个网站进行一次分布式拒绝服务（DDoS）攻击。

这个程序什么时候完成执行

这个程序永远不会完成。它在-一个定时器上等待直到2100年，到时候创建20个线程，每一个运行一个无限循环。

2 Lab07-02

分析在文件Lab 07-02.exe 中发现的恶意代码。
问题
分析：
查看导入表

从ole32库中导入了OleInitialize函数，这个程序可能使用了COM功能。
继续查看strings，存在可疑URLhttp://www.malwareanalysisbook.com/ad.html
Tips:这里需要设置让strings页面可以读取unicode编码的字符串。

跟进main函数，按下F5，查看

CLSID是0002DF01-0000-0000-C000-000000000046 (表示Internet Explorer)
IID是D30C1661-CDAF-11D0-8A3E-00C04FC9E26E (表示IWebBrowser2)

CoCreateInstance执行结果保存在ppv，一旦结构体从调用返回，一旦结构体从 CoCreateInstance处返回，COM客户端调用位于这个结构体某处偏移的一个函数，见下图。

1处拿到返回的结构体指针，2处将eax解引用并赋给edx，3处通过偏移调用IWebBrowser2Vtbl中的第12个函数Navigate，可以在struct页面尝试添加一个结构体（快捷键Insert）。每个函数4字节，第一个函数在0位置。

嗲用Navigate函数之后，会执行一些清理函数，然后程序终止。这个程序不会持久化自己，也不会修改系统。只是简单的显示一次广告。当遇到如此简单的一个程序时，要考虑它是可疑的，他可能只是随额外的恶意代码一起打包，只是其中的一个组件。
该函数被调用后，Internet Explorer将导航至http://www.malwareanalysisbook.com/ad.html。该函数执行一些清理函数，但是没有持久化驻留，仅简单显示一个广告页面。

这个程序如何完成持久化驻留？

这个程序没有完成持久化驻留，运行一次然后退出了。

这个程序的目的是什么？

这个程序的目的是显示一个页面，ad.html，可能是一个广告页面。

这个程序什么时候完成执行？

这个程序在显示这个广告页面后完成执行。

3 Lab07-03

问题
分析：
首先分析Lab07-03.exe文件，查看导入表，有很多文件操作。

查看strings视图

.data:0040304C 00000021 C C:\windows\system32\kerne132.dll 是仿冒的dll，说明该文件存在仿冒系统关键dll的可能，.data:0040307C 0000000D C Lab07-03.dll 说明可能调用了Lab07-03.dll，用IDA Pro打开查看代码。

首先用eax保存命令行参数的格式，如果参数的个数不是2，会直接退出，并且比较了argv[1]是不是WARNING_THIS_WILL_DESTROY_YOUR_MACHINE这样保证了恶意代码不会在虚拟机中被自动执行，属于反动态检测的一种手段。
打开两个文件C:\Windows\System32\Kernel32.dll 和Lab07-03.dll映射到内存中。

接下来就是将C:\Windows\System32\Kernel32.dll 的导出表部分复制到Lab07-03.dll的导出表。

然后将Lab07-03.dll 复制到C:\windows\system32\kerne132.dll将文件命名为和关键系统库相似的名称，进一步进行恶意行为。并跳转到loc_401806位置。先将参数C:\*压栈，调用函数sub_4011E0。
该函数如下，主要是遍历C盘文件，第29行找到.exe结尾的文件，调用函数sub_4010A0。
判断文件是不是以.exe结尾的逻辑主要在0x004013F6处。在0x004011E0和0x004013F6处设置断点，F9执行，查看栈上数据变化。可以看到这部分的执行逻辑和静态分析的结论一致。

至此，程序功能清晰，就是将对kernel32.dll的调用，转换为kerne132.dll的调用，这样很多程序都会受到影响，很难清除
分析Lab07-03.dll，查看导入表，有创建互斥体以及网络相关函数。

查看strings，发现疑似恶意IP127.26.152.13还有几个其他可疑的字符串。

跟进SADFHUHF字符串，可以看到这是一个互斥量名称硬编码，保证同一时刻只有一个恶意代码进程在执行。

跟进127.26.152.13结构体sockaddr.data保存了host信息和端口信息。IP是127.26.152.13，端口是0x50(十进制80)

buf中保存的是hello，发送这个字符串给C2，受害者已经上线，然后接收C2发送的命令，继续保存在buf中，检查buf的前五个字节是不是sleep如果是，跳出循环sleep60s，检查前四个字节是不是exec，如果是，使用CreateProcessA创建新的进程。关于此函数文档如下，lpCommandLine参数可以执行命令。说明此DLL文件带有后门功能。