恶意代码分析实战 Lab 1-4 习题笔记

Lab 1-4

问题

1.将文件上传并查看报告。

解答： 我们就传一次看看

Basic PropertiesMD5 625ac05fd47adc3c63700c3b30de79abSHA-1   9369d80106dd245938996e245340a3c6f17587feAuthentihash    e4d9d8ea008b5521c4b4273b8a276cf618db3f8af0bdd2f17d50f6c09e5bc150Imphash aade0ea6fbdcd9b8e96fe999cae6f603File Type   Win32 EXEMagic   PE32 executable for MS Windows (GUI) Intel 80386 32-bitSSDeep  96:TF0MgAr71nxY9AAIvqZ2ZNHHsP4oynLKcm5OzG38U6p2WL4P4oyn:iJaPLjC2ZNHMP4oynLKL38jp2VP4oynTRiD    Win64 Executable (generic) (61.4%)Win32 Dynamic Link Library (generic) (14.6%)Win32 Executable (generic) (10%)Win32 Executable MS Visual FoxPro 7 (5%)Generic Win/DOS Executable (4.4%)File Size   36 KBTagspeexearmadillovia-torHistoryCreation Time   2019-08-30 22:26:59First Seen In The Wild  2011-07-05 18:16:16First Submission    2011-07-06 00:05:42Last Submission 2017-08-29 01:59:59Last Analysis   2017-08-29 01:59:59File NamesLab01-04.exeTask04.exequestion2.exeLab03-01.exeChallenge.exelab01-04.exeLab01-04.exe_localfile~MW4.exesample3.exePackersPEiD    Armadillo v1.71Portable Executable InfoHeaderTarget Machine  Intel 386 or later processors and compatible processorsCompilation Timestamp   2019-08-30 22:26:59Entry Point 5583Contained Sections  4SectionsName    Virtual Address Virtual Size    Raw Size    Entropy MD5.text   4096    1824    4096    3.12    77df9f7ebc4a2bc4bdf2b454d7635aee.rdata  8192    978 4096    1.59    d630e1eb49ed821e38202aefef911a39.data   12288   332 4096    0.51    d9a3822a7733a76776d8b6e64e364b9d.rsrc   16384   16480   20480   0.71    398569177d4d82090d3e1747be560f9aImportsADVAPI32.dllKERNEL32.dllMSVCRT.dllContained Resources By TypeBIN 1Contained Resources By LanguageENGLISH US  1Contained ResourcesSHA-256 File Type   Type    Language819b2db1876d85846811799664d512b2f1af13e329f5debe60926c3b03424745    application/x-ms-dos-executable BIN ENGLISH USExifTool File MetadataCodeSize    4096EntryPoint  0x15cfFileType    Win32 EXEFileTypeExtension   exeImageVersion    0.0InitializedDataSize 28672LinkerVersion   6.0MIMEType    application/octet-streamMachineType Intel 386 or later, and compatiblesOSVersion   4.0PEType  PE32Subsystem   Windows GUISubsystemVersion    4.0TimeStamp   2019:08:30 23:26:59+01:00UninitializedDataSize   0

这就是www.virustotal.com分析得出的结果

我们可以看到很多有用的信息，比如

TimeStamp 2019:08:30 23:26:59+01:00

它是从这里来的，这显然不是正常时间

我们突然看到这里，然后我就想是不是我的虚拟机是64位的所以分析不出来什么东西，分析方向现在我去装个32位的winxp先。。。

装完32位XP后再来试了一下，该打不开的还是打不开。。。

然后这就不是x86还是x64的锅了

---

2.是否有这个文件被加壳或被混淆的任何迹象？如果是这样，这些迹象是什么？如果该文件被加壳，请进行脱壳，如果可能的话。

解答： PEiD上

然后我们可以看出并没有被加壳的迹象

---

3.这个文件是什么时候被编译的？

然后这个其实virustotal已经告诉我们了

TimeStamp 2019:08:30 23:26:59+01:00

我们也可以通过Dependency Walker来看，也是这个值

---

4.有没有任何导入函数能够暗示出这个程序的功能？如果是，是哪些导入函数，它们会告诉你什么？

解答： 这个就要看导入函数了

KERNEL32.DLL导入了这么几个函数

这个函数导入了CreateFileA和MoveFileA这个函数，说明它可以创建一个文件和移动一个文件

还有CreateRemoteThread说明这个函数会在一个远程进程(Remote Process)里面创建一个自己的远程线程(Remote Thread)来运行恶意代码

还有FindResourceA、LoadResource和SizeofResourse这个函数，说明它再查找资源节的内容

GetCurrentProcess和OpenProcess这个是获得想要获得进程的文件描述符，也是为了操作远程的进程

值得注意的是GetTempPathA这个函数，这说明这恶意代码可能会使用Temp目录

WinExec说明这个程序可以运行另一个程序代码

然后在ADVAPI32.DLL中呢，我们可以看到这几个导入函数

AdjustTokenPrivileges说明这个函数可以通过令牌的方式确保只运行一个进程在系统中

LookupPrigilegeValueA说明这个程序可以去查找用户的登录信息等系统敏感信息

然后我们也可以通过virustotal这个网站的分析来看

分析结果显示很大部分的引擎显示这很可能是一个木马下载后门软件

---

5.有哪些基于主机或基于网络的迹象，可以被用来确定这个恶意代码所感染的机器？

解答： 我们打开ida看看

可以看出这个程序会有一个\\system32\\wupdmgr.exe、\\winup.exe的程序和psapi.dll、sfc_os.dll的动态链接库，我们可以根据这个来查找，然后书上得出的那个结论的网络地址，我是没法找到的

---

6.这个文件在资源段中包含一个资源，使用Resource Hacker工具来检测资源，然后抽取资源。从资源中你能发现什么？

解答： 这个也是比较隐蔽的一种藏恶意代码的方式，我们先用Resource Hacker来看看这个文件

可以看出在BIN目录下有个101:1033

我们用一个资源节没用藏东西的程序看看会是什么样的

可以看出这里什么都没有

然后我将这个资源节里的代码导出来保存，再用ida来分析

保存为一个exe文件格式之后

再用ida打开

可以看到标黄的就是我们导出的东西

然后我们就可以发现这个导出的恶意代码里面包含了一个网址，和我们刚刚分析主程序时候的那个wupdmgrd.exe和winup.exe

然后这时候我们也可以通过这个http://www.practicalmalwareanalysis.com/updater.exe来断定这是下载木马的程序，木马就是updater.exe，在网络中的位置就是www.practicalmalwareanalysis.com，当然，回答上一问，我们也可以通过这个网络流量数据来分析判断受感染的机器的特征

本文完