您的位置: 首页  >  文章  >  网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分类: 文章 2022-10-11 22:14:01

实验目的

请依据所学过的快速分析技巧,分析样本包中的样本,要求用一句话描述出每个样本为什么是恶意的。

说明:

1、样本包中的都是真实的恶意样本,请大家不要在真实系统中运行。

2、分析前请关闭杀毒软件。

3、推荐使用Total Commander+Hiew进行分析。首先安装tcmd912x32_64.exe,然后直接将Hiew文件夹拷贝到你的系统中,进入Total Commander,选择Configuration->Options->Edit/View,将External Viewer设置为Hiew的路径,比如你的Hiew文件夹位于C盘根目录,则将其设置为:C:\Hiew\hiew32.exe "%1" -k

4、快捷键

F3:利用Hiew打开待分析的文件

Enter:切换查看模式

F8:查看PE文件信息

F9:查看导出表信息

病毒样本(解压密码:123).rar

分析工具.rar

------------------------------------------------------------------------------------------------------------------------------------------------------

实验内容

然后把自己电脑的杀毒软件关掉,因为样本有可能会被杀毒软件认为是病毒。所以要把杀毒软件关掉。

注意:不要本机运行病毒,使用total command打开分析病毒还是可以的。

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:一个未知来源网站叫你输入邮箱账号和密码,很大概率是钓鱼网站,所以这个样本很大程度是恶意的。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:该文件源代码使用的函数命名让人看不出是什么意思,有什么作用,再分析当前这个函数的内容,gwUoi拼接一大堆字符串,而且这些字符串让人看不出是什么意思。作者这样写很大原因便是他想掩饰他的意图,由此推断这个样本很大程度是恶意的

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由开头的MZ和PE可以知道这个文件是执行文件。再对该PE文件进行导出(按enter,f8,f9),可以看出函数名命名奇怪,很可能是因为作者想掩盖他的意图。所以分析这个程序是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:看上面的源码,可以看得出该文件是加密的,作者这样做很大意图是不想让别人看出程序的意图,程序很大可能是进行一系列不为人知危害使用者的操作。所以这个样本很大概率是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由开头的MZ和PE可以知道这个文件是执行文件。所以按enter,再按f8,f9查看导出表的信息,可以看到几个函数的地址都相同,异于正常程序。所以分析得出该样本是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:再看上面的源码,可以看得出该文件源码进行了很多运算,一般程序不会这样的,作者这样做很大意图是不想让别人看出程序的意图,程序很大可能是进行一系列不为人知危害使用者的操作。所以这个样本很大概率是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由源代码可以可以看出,当你想访问www.google.*或www.bing.com会返回127.0.0.1:8080,禁止你访问,由此可以推断出它是恶意程序

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由源代码可以看见文件头带有pdf,可以看出这个文件是pdf文件,把这个文件后加pdf后缀,打开可以看见一个链接,其余的都是空白。一个让人不明意图的链接,可以推断出该文件是个钓鱼文件,这是一个恶意样本。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

 

分析:看上面的源码,可以看得出该文件是加密的,作者这样做很大意图是不想让别人看出程序的意图,程序很大可能是进行一系列不为人知危害使用者的操作。而且不明白该程序想干什么。所以这个样本很大概率是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由开头的MZ和PE可以知道这个文件是执行文件。再看上面的源码,PE导出,进入wow_helper函数,可以看出该文件有检查360tray.exe等杀毒文件,一般程序是不会检查这些文件的,所以该样本是一个恶意样本。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由开头的MZ和PE可以知道这个文件是执行文件。导出,(按两次enter)进入第一个函数DiskSend,可以看到地址都是0000,异于一般程序,所以可以分析该程序是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:该文件的源代码使用了iframe,其中使用了hidden,隐蔽地打开访问了一个网址,不让使用者知道。这种行为可以看出该样本是一个恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:该文件源码使用了很多^,作者之所以这样写很大是为了躲避杀毒软件的查杀,一般人是不会这样写代码的,所以该样本是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由开头的MZ和PE可以知道这个文件是执行文件。所以按enter,再按f8,f9查看导出表的信息,可以看到几个函数的地址都相同,异于正常程序。所以分析得出该样本是恶意程序。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:该文件源码可以看出使用了命令行隐藏地下载一个文件,不让使用者知道。由此可以看出该样本是恶意的。

--------------------------------------------------------------------------------------------------------------------------------------

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)

分析:由开头的MZ和PE可以知道这个文件是执行文件。再对该PE文件进行导出(按enter,f8,f9),可以看出函数名命名奇怪,很可能是因为作者想掩盖他的意图。所以分析这个程序是恶意程序。

本次实验的体会

通过这次实验的学习,认识了快速分析恶意程序,也认识了total command工具的使用。total command是一个很有用,功能很强大的工具,让我们可以可以快速查看执行程序源代码,分析程序。对于快速分析恶意程序的理解我认为是这样的:

  1. 快速是指分析样本的时间要快,而怎样才能做到快呢?就是分析程序的源代码,如果源代码进行了暗地不为认知的操作,或掩饰自己的行为等,这样是对使用者进行不透明的服务,我们可以认为是一个恶意程序。就像日常生活中,我们交易,购物都要是透明的,公开的,双方都有知情权的。而某一方隐藏自己的行为,很大程度就是侵犯你的权利,对你进行不利的操作。从这样一点我们就可以以此为基础分析源代码是否带有恶意,从而进行快速查杀。
  2. 快速虽然让我们可以很快的分析程序是否恶意,但是追求快难免会降低精度,所以快速查杀只可以做到大概率地分析该程序是否是恶意程序,而不能绝对肯定该程序是恶意程序(例如有些程序在后台隐蔽打开一个网址,这个网址有可能不是恶意网址。| 有些加密程序只是不想重要源码泄露等等)。要精确查杀就需要时间,你进行快速查杀,就丢失精度,万物皆有两面,有得有失。我们要合理使用这两种查杀。
  3. 快速查杀对我们分析恶意程序是有必要的,快速查杀不需要太多技术,比相对而言精确查杀难度低很多。在现在信息社会,恶意代码是非常之多,我们可以快速辨别一个程序是否是恶意程序对我们的工作效率是非常有用的。

 

 

 

 

 

 

 

相关推荐