一次惡意軟件安靜態(tài)分析

一次惡意軟件安靜態(tài)分析一次惡意軟件靜態(tài)分析簡(jiǎn)述：只是對(duì)兩個(gè)軟件通過使用幾個(gè)靜態(tài)分析工具進(jìn)行簡(jiǎn)要分析，了解它的根底信息。分析對(duì)象：Lab01-01.exe、Lab01-01.dll使用工具：windows提供的系統(tǒng)分析包中的PEid，strings，PWview，dependency，resourcehacker，WinMD5開始分析1：La:01-01.dll使用工具1：PEid得出現(xiàn)象：如圖1初步結(jié)果：說明這是一個(gè)用C++6.0編譯出來的.dll文件，但是并沒有識(shí)別出被加殼過，至于入口點(diǎn)，文件偏移，連接器版本，PE段，首字節(jié)，子系統(tǒng)類的值就不一一介紹了。使用工具2：strings〔這一微軟提供的一個(gè)系統(tǒng)分析工具包的一個(gè)工具，只要是負(fù)責(zé)字符串搜尋〕這工具需要自cmd上運(yùn)行檢查得出現(xiàn)象：首先在cmd上運(yùn)行strings.exe，運(yùn)行步驟如圖3：接著輸入stringsLab-1.dll〔上面的路徑是strings路徑，最好將分析文件也放在同一位置，方便操作〕得到結(jié)果如圖4：以上是挑選后的結(jié)果，發(fā)現(xiàn)有兩個(gè)重要的結(jié)果1.點(diǎn)用到內(nèi)核函數(shù)庫Kernel32.dll函數(shù)庫中的幾個(gè)重要的函數(shù)，CreateProcessA，Sleep；2.調(diào)用網(wǎng)絡(luò)鏈接庫，外加上一個(gè)IP地址，這更堅(jiān)信其實(shí)用到http效勞初步結(jié)果：有以上的現(xiàn)象初步判斷這是一個(gè)需要使用到網(wǎng)絡(luò)的.dll文件，而且結(jié)合Kernel32.dll文件中的sleep函數(shù)，或許是可以通過網(wǎng)絡(luò)控制目標(biāo)系統(tǒng)進(jìn)入睡眠。還有一點(diǎn)，.dll必須有一個(gè)工具進(jìn)行輔助〔調(diào)用它里面的函數(shù)，到達(dá)目的，這就是Lab-1.exe文件〕。使用工具3：dependency得出現(xiàn)象：首先查看她對(duì)Kernel32.dll文件的調(diào)用，如圖7：然后再查看它對(duì)WS2_32.DLL，如圖8：首先可以看出這一個(gè)通過序號(hào)引索調(diào)用函數(shù)的方法，需要進(jìn)行人工的匹配，匹配出重要的結(jié)果是調(diào)用幾個(gè)可以函數(shù)，如圖9：調(diào)用到send函數(shù)，初步判斷是需要往外發(fā)處數(shù)據(jù)。分析WS2_32.dll，得到解初步結(jié)果如圖10：調(diào)用大shutdown函數(shù)，初步判斷是通過后門進(jìn)行系統(tǒng)重啟如圖11：調(diào)用到WSACleanup，初步判斷是事后進(jìn)行緩存數(shù)據(jù)去除，去除痕跡。如圖12：調(diào)用到inet_addr函數(shù)，初步判斷是獲取網(wǎng)絡(luò)IP地址，與后門主機(jī)連接。如圖13：調(diào)用connect函數(shù)，出判斷是連接網(wǎng)絡(luò)。初步結(jié)果：綜合上述調(diào)用的函數(shù)及初步判斷，可以進(jìn)一步判斷，該.dll文件，是根據(jù)設(shè)定的IP地址，連接網(wǎng)絡(luò)中的目標(biāo)IP，然后發(fā)送數(shù)據(jù)，通過后門進(jìn)行遠(yuǎn)程重啟，然后去除緩存數(shù)據(jù)。使用工具4：PEview〔這是一個(gè)比擬細(xì)的對(duì)PE致查找工具〕得出現(xiàn)象：首先是分析出它的文件頭數(shù)據(jù)如圖16：分析出它的文件可擴(kuò)展頭的數(shù)據(jù)如圖17：再重點(diǎn)查看他需要調(diào)用到的數(shù)據(jù)〔主要是導(dǎo)入導(dǎo)出表〕如圖18：這吻合上面其他工具的分析結(jié)果，調(diào)用到了者.exe文件的資源目錄〕得出現(xiàn)象：很多時(shí)候用resourcehacker分析.dll文件，都是空白的，所以有些病毒分析師并不會(huì)怎么將.dll文件放到resourcehacker中進(jìn)行分析。但是有些病毒攻擊者正是；利用了這點(diǎn)。將病毒嵌入到.dll文件的資源文件中。該文件在resourcehacker中的分析結(jié)果如圖24：這說明這個(gè).dll文件的資源段并沒有被嵌入病毒。初步結(jié)果：該文件的資源段屬于正常，沒有被查出人和資源信息。使用工具6：WinMD5〔用于查詢文件的哈希值〕得到結(jié)果：290934c61de9176ad682ffdd65f0a669Lab01-01.dll分析對(duì)象的分析結(jié)果：該文件并沒有加殼，其次這是一個(gè)需要通過聯(lián)通網(wǎng)絡(luò)，然后接受目標(biāo)IP：3傳過來的指令，通過該文件后門向系統(tǒng)發(fā)出休眠指令使得系統(tǒng)進(jìn)入休眠狀態(tài)。開始分析1：Lab01-01.dll使用工具1：PEid得出現(xiàn)象：如圖2初步結(jié)果：說明這是一個(gè)用C++6.0編譯出來的.exe文件，但是并沒有識(shí)別出被加殼過，至于入口點(diǎn)，文件偏移，連接器版本，PE段，首字節(jié)，子系統(tǒng)類的值就不一一介紹了。使用工具2：strings〔這一微軟提供的一個(gè)系統(tǒng)分析工具包的一個(gè)工具，只要是負(fù)責(zé)字符串搜尋〕得出現(xiàn)象：得出的現(xiàn)象如圖5，6：上面上面顯示的很明顯，首先有調(diào)用Kernel32.dll里的圖5這么幾個(gè)函數(shù)，很明顯是實(shí)現(xiàn)創(chuàng)立、查找，退出文件功能，然后還有一個(gè)就是圖6的兩個(gè)文件，Kernel32.dll與kerne132.dll，者是一個(gè)很明顯的文件混淆，著可以判斷它是不是它進(jìn)行創(chuàng)立一個(gè)kerne132.dll文件與Kernel32.dll文件混淆在一起呢？初步結(jié)果：創(chuàng)立一個(gè)kerne132.dll文件，和kerne32.dll文件混淆在一起，起到一個(gè)隱藏作用。使用工具3：dependency得出現(xiàn)象：首先是分析調(diào)用的Kernel32.dll里面的函數(shù)。如圖14：在kernel32.dll文件中調(diào)用了CopyFileA，CreateFileA，F(xiàn)indClose，F(xiàn)ineFirstA，F(xiàn)indNextA函數(shù)實(shí)現(xiàn)文件創(chuàng)立，查找，復(fù)制功能，這也進(jìn)一步確認(rèn)了strings上搜索到的數(shù)據(jù)和推斷。再對(duì)MSVCRT.DLL查詢分析，這是一個(gè)多線程調(diào)用函數(shù)動(dòng)態(tài)鏈接庫〔如果對(duì)這個(gè)文件不是很熟悉的話可以到微軟官網(wǎng)上去查詢，/en-us/library/abx4dbyh.aspx〕，里面還可以查詢細(xì)致到某個(gè)函數(shù)的作用〕如圖15：可能是本人功力尚淺，并沒有覺得什么可以的地方值得疑心。初步結(jié)果：進(jìn)一步判定它是執(zhí)行文件創(chuàng)立，查找，復(fù)制，關(guān)閉功能。使用工具4：PEview得出現(xiàn)象：首先查看的是該程序的文件頭數(shù)據(jù)，如圖20：該程序的可擴(kuò)展頭信息，如圖21：然后再重點(diǎn)查看他的數(shù)據(jù)段.rdata和.data，.rdata數(shù)據(jù)如圖22：看到了它調(diào)用的Kernel32.dll里面的CopyFileA，CreateFileA，F(xiàn)indClose，F(xiàn)ineFirstA，F(xiàn)indNextA函數(shù)。也調(diào)用MSVCRT.dll多線程庫里面的函數(shù)執(zhí)行線程調(diào)用。再看.data區(qū)段里面的數(shù)據(jù)，如圖23：這里面的數(shù)據(jù)就精華豐富了，首先是兩個(gè)近似函數(shù)Kernel32.dll與Kerne132.dll，初步判斷是進(jìn)行文件混淆目的。然后是一個(gè)系統(tǒng)目錄路徑，一個(gè)函數(shù)Kerne132.dll，初步判斷是這個(gè)路徑和Kerne132.dll存在某種關(guān)聯(lián)。然后再來兩個(gè)Kernel32.dll和Lab01-01.dll，Lab01-01.dll這很明顯就是上面分析的.dll文件，所以初步判定是這個(gè)程序需要調(diào)用到Kernel32.dll和Lab01-01.dll。然后是系統(tǒng)路徑和Kernel32.dll文件，和一個(gè)函數(shù)。這就是說調(diào)用到系統(tǒng)路徑里的Kernel32.dll文件的某個(gè)函數(shù)初步結(jié)果：眾多聯(lián)系起來可以進(jìn)一步判斷，這個(gè)程序?qū)崿F(xiàn)的功能是在系統(tǒng)路徑中尋找，創(chuàng)立，復(fù)制一個(gè)Kerne132.dll文件，然后還調(diào)用了Lab01-01.dll文件實(shí)現(xiàn)它里面的功能。使用工具5：resourcehacker得出現(xiàn)象：同樣也沒分析出結(jié)果，這有點(diǎn)異常，剛剛還能分析出兩個(gè)數(shù)據(jù)，一個(gè)是界面代碼，一個(gè)書二進(jìn)制數(shù)據(jù)?，F(xiàn)在得到的卻是空白如圖25：初步結(jié)果：未有價(jià)值的信息使用工具6：WinMD5得到結(jié)果：bb7425b82141a1c0f7d60e5106676bb1Lab01-01.exe分析對(duì)象的分析結(jié)果：該文件并沒有加殼，她住要實(shí)現(xiàn)的功能是，調(diào)用Kernel32.dll文件的相關(guān)函數(shù)，實(shí)現(xiàn)在系統(tǒng)目錄里面遍歷查找是否存在Kerne132.dll文件，如果不存在就進(jìn)行創(chuàng)立Kerne132.dll文件，進(jìn)行混淆Kernel32.dll文件，然后再調(diào)用Lab01-01.dll文件，實(shí)現(xiàn)它的功能結(jié)合兩個(gè)分析對(duì)象得出的結(jié)論：該文件并沒有加殼，她住要實(shí)現(xiàn)的功能是，調(diào)用Kernel32.dll文件的相關(guān)函數(shù)，實(shí)現(xiàn)在系統(tǒng)目錄里面遍歷查找是否存在Kerne132.dll文件，如果不存在就進(jìn)行創(chuàng)立Kerne132.dll文件，進(jìn)行混淆Kernel32.dll文件，然后再調(diào)用Lab01-01.dll文件，實(shí)現(xiàn)通過聯(lián)通網(wǎng)絡(luò)，然后接受目標(biāo)IP：3傳過來的指