恶意代码分析实战 课后题 Lab12-01
1. 样本概况
病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visual C++ v6.0编写。
1.1样本信息
病毒名称:Lab12-01.exe
MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16
SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA
病毒行为:每隔1min弹出窗口。
1.2测试环境及工具
测试环境:winxp32位
测试工具:OD、IDA、pestudio
1.3分析字符串信息
Lab12-02.exe:
函数OpenProcess、CreateRemoteThread、WriteProcessMemory、VirtualAllocEx,怀疑进程注入。
Lab12-01.dll,调用了此dll,可以查看它的输出函数。
explorer.exe,可能对此进程进行了进程注入。
Lab12-01.dll:
Press OK to reboot,可能会使系统重启,然而并没有。
Practical Malware Analysis %d
2. 具体行为分析
2.1主要行为分析
每隔一段时间就弹出窗口。
进程Lab12-01.exe中用到了explorer.exe.
2.2恶意代码分析
拼接出恶意DLL的地址。
对受害进程进行DLL注入。这里写错了,不是将恶意DLL的名字写入进程中,而是写入VirtualAlloxcEx分配的内存空间中。
接下来分析恶意DLL,Lab12-01.dll,看它的功能是什么。
创建了一个线程,调用sub_10001030函数。
sub_10001030函数每隔60000ms(1min)弹出一个窗口。没有判断条件,一直循环下去。
3. 总结
对进程explore.exe进行DLL注入,使explore.exe调用LoadLibrary,加载Lab12-01.dll到explore.exe中,执行其中的代码,每隔1min弹出一个窗口。
病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visual C++ v6.0编写。
1.1样本信息
病毒名称:Lab12-01.exe
MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16
SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA
病毒行为:每隔1min弹出窗口。
1.2测试环境及工具
测试环境:winxp32位
测试工具:OD、IDA、pestudio
1.3分析字符串信息
Lab12-02.exe:
函数OpenProcess、CreateRemoteThread、WriteProcessMemory、VirtualAllocEx,怀疑进程注入。
Lab12-01.dll,调用了此dll,可以查看它的输出函数。
explorer.exe,可能对此进程进行了进程注入。
Lab12-01.dll:
Press OK to reboot,可能会使系统重启,然而并没有。
Practical Malware Analysis %d
2. 具体行为分析
2.1主要行为分析
每隔一段时间就弹出窗口。
进程Lab12-01.exe中用到了explorer.exe.
2.2恶意代码分析
拼接出恶意DLL的地址。
对受害进程进行DLL注入。这里写错了,不是将恶意DLL的名字写入进程中,而是写入VirtualAlloxcEx分配的内存空间中。
接下来分析恶意DLL,Lab12-01.dll,看它的功能是什么。
创建了一个线程,调用sub_10001030函数。
sub_10001030函数每隔60000ms(1min)弹出一个窗口。没有判断条件,一直循环下去。
3. 总结
对进程explore.exe进行DLL注入,使explore.exe调用LoadLibrary,加载Lab12-01.dll到explore.exe中,执行其中的代码,每隔1min弹出一个窗口。