何为病毒?一种破坏计算机正常运行的程序
常规的挖坑病毒,最近某平台的勒索病毒,打红队一下木马程序等。
本篇主要讲解静态分析手法
何为静态分析?
在不运行病毒的情况下,进行信息收集
PE文件概述
链接库与函数
常用的windows dll都有哪些作用
实验1
1. 属于木马文件
2.文件编译时间
pe explorer可以看到 2010.12.19创建的
3. 程序未做混淆
4. 是,导入函数有很多,如查看文件,创建文件,复制文件,查看文件夹下所有文件,这些导入函数都是windows api的接口,恶意病毒之所以能运行都是基于windows api进行操作
5.使用strings对文件进行数据查看 会释放这个文件,windows正常文件是大写开头 C:\Windows\System32\xxxx.dll
6. 有网络特征,如果存在攻击,链接网络中将会出现这个ip的链接
7. 存在一个exe 一个dll,dll默认不会自己运行,那么exe会调用此dll,由于exe会创建一个kernel32.dll,以小写路径混淆,那么自带的dll可能是kernel32.dll原型,对dll进行分析,有sleep函数 exec函数,推测出可执行命令,有延迟,可查看,创建文件,并且需要联网,故为木马文件,区域内排出木马,一,查找小写路径的kernel32.dll文件,查看链接是否有127.26.152.13外链ip。
实验2
1.有特征木马文件
2. 检测pe头发现被加壳了存在upx壳
如果程序被加壳会发生什么,显示的信息不全,如查看导入函数,只有四五个,正常情况有十几个或者几十个
尝试脱壳
o 脱壳后的文件,d 需要脱壳的文件
upx -o Lab01-021.exe -d Lab01-02.exe
3. 程序功能 创建线程,创建服务,打开链接
4. 特征存在一个链接
实验3
1.是病毒文件,木马
2. 加壳了,FSG v1.0
尝试脱壳 因为不会使用od脱壳,所以查找脱壳工具,一个一个试
3. 查看导入函数
百度搜了下,ole.dll文件的对象嵌入功能允许用户从一个应用程序(源)被嵌入在另一个应用程序(目的地)获得的数据。,猜测可能是调用另一个恶意软件的。
4. 存在链接特征
实验4
1.恶意文件
2. 未加壳
3. 编译时间
4. 写文件加载资源创建文件移动文件获取临时路径感觉像是加载器或者下载器
5. 特征是 下载了一个文件,可以基于这个文件查找
6. 使用Resource Hacker打开exe,然后导出raw格式,放入工具, 查看导入函数从链接下载文件的功能
