实验一
这个实验使用Lab01-01.exe和Lab01-01.d文件,使用本章描述的工具和技术来获取关于这些文件的信息。
问题:
- 将文件上传至 http:/www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
- 这些文件是什么时候编译的?
- 这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?
- 是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?
- 是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?
- 是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
- 你猜这些文件的目的是什么?
解答:
将文件上传至 http:/www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
58/71报毒
这些文件是什么时候编译的?
PETools.exe
显示是2010年12与月19
这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?
没有加壳,使用PEiD.exe工具如果能看出是什么编译器编译的,则未加壳,如果看不出或者显示加壳程序则证明加壳
是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?
使用PEiD.exe可以看到对应导出表和函数
是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?
运行 strings Lab01-01.exe发现伪造的Kernel32.dll程序
是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
运行strings Lab01-01.dll,发现联网的恶意ip
你猜这些文件的目的是什么?
后门程序,通过exe程序调用dll,dll文件具有联网和执行命令操作.
