一次惡意軟件安靜態(tài)分析

一次惡意軟件安靜態(tài)分析一次惡意軟件靜態(tài)分析簡述：只是對兩個軟件通過使用幾個靜態(tài)分析工具進(jìn)行簡要分析，了解它的根底信息。分析對象：Lab01-01.exe、Lab01-01.dll使用工具：windows提供的系統(tǒng)分析包中的PEid，strings，PWview，dependency，resourcehacker，WinMD5開始分析1：La:01-01.dll使用工具1：PEid得出現(xiàn)象：如圖1初步結(jié)果：說明這是一個用C++6.0編譯出來的.dll文件，但是并沒有識別出被加殼過，至于入口點(diǎn)，文件偏移，連接器版本，PE段，首字節(jié)，子系統(tǒng)類的值就不一一介紹了。使用工具2：strings〔這一微軟提供的一個系統(tǒng)分析工具包的一個工具，只要是負(fù)責(zé)字符串搜尋〕這工具需要自cmd上運(yùn)行檢查得出現(xiàn)象：首先在cmd上運(yùn)行strings.exe，運(yùn)行步驟如圖3：接著輸入stringsLab-1.dll〔上面的路徑是strings路徑，最好將分析文件也放在同一位置，方便操作〕得到結(jié)果如圖4：以上是挑選后的結(jié)果，發(fā)現(xiàn)有兩個重要的結(jié)果1.點(diǎn)用到內(nèi)核函數(shù)庫Kernel32.dll函數(shù)庫中的幾個重要的函數(shù)，CreateProcessA，Sleep；2.調(diào)用網(wǎng)絡(luò)鏈接庫，外加上一個IP地址，這更堅(jiān)信其實(shí)用到http效勞初步結(jié)果：有以上的現(xiàn)象初步判斷這是一個需要使用到網(wǎng)絡(luò)的.dll文件，而且結(jié)合Kernel32.dll文件中的sleep函數(shù)，或許是可以通過網(wǎng)絡(luò)控制目標(biāo)系統(tǒng)進(jìn)入睡眠。還有一點(diǎn)，.dll必須有一個工具進(jìn)行輔助〔調(diào)用它里面的函數(shù)，到達(dá)目的，這就是Lab-1.exe文件〕。使用工具3：dependency得出現(xiàn)象：首先查看她對Kernel32.dll文件的調(diào)用，如圖7：然后再查看它對WS2_32.DLL，如圖8：首先可以看出這一個通過序號引索調(diào)用函數(shù)的方法，需要進(jìn)行人工的匹配，匹配出重要的結(jié)果是調(diào)用幾個可以函數(shù)，如圖9：調(diào)用到send函數(shù)，初步判斷是需要往外發(fā)處數(shù)據(jù)。分析WS2_32.dll，得到解初步結(jié)果如圖10：調(diào)用大shutdown函數(shù)，初步判斷是通過后門進(jìn)行系統(tǒng)重啟如圖11：調(diào)用到WSACleanup，初步判斷是事后進(jìn)行緩存數(shù)據(jù)去除，去除痕跡。如圖12：調(diào)用到inet_addr函數(shù)，初步判斷是獲取網(wǎng)絡(luò)IP地址，與后門主機(jī)連接。如圖13：調(diào)用connect函數(shù)，出判斷是連接網(wǎng)絡(luò)。初步結(jié)果：綜合上述調(diào)用的函數(shù)及初步判斷，可以進(jìn)一步判斷，該.dll文件，是根據(jù)設(shè)定的IP地址，連接網(wǎng)絡(luò)中的目標(biāo)IP，然后發(fā)送數(shù)據(jù)，通過后門進(jìn)行遠(yuǎn)程重啟，然后去除緩存數(shù)據(jù)。使用工具4：PEview〔這是一個比擬細(xì)的對PE致查找工具〕得出現(xiàn)象：首先是分析出它的文件頭數(shù)據(jù)如圖16：分析出它的文件可擴(kuò)展頭的數(shù)據(jù)如圖17：再重點(diǎn)查看他需要調(diào)用到的數(shù)據(jù)〔主要是導(dǎo)入導(dǎo)出表〕如圖18：這吻合上面其他工具的分析結(jié)果，調(diào)用到了者.exe文件的資源目錄〕得出現(xiàn)象：很多時(shí)候用resourcehacker分析.dll文件，都是空白的，所以有些病毒分析師并不會怎么將.dll文件放到resourcehacker中進(jìn)行分析。但是有些病毒攻擊者正是；利用了這點(diǎn)。將病毒嵌入到.dll文件的資源文件中。該文件在resourcehacker中的分析結(jié)果如圖24：這說明這個.dll文件的資源段并沒有被嵌入病毒。初步結(jié)果：該文件的資源段屬于正常，沒有被查出人和資源信息。使用工具6：WinMD5〔用于查詢文件的哈希值〕得到結(jié)果：290934c61de9176ad682ffdd65f0a669Lab01-01.dll分析對象的分析結(jié)果：該文件并沒有加殼，其次這是一個需要通過聯(lián)通網(wǎng)絡(luò)，然后接受目標(biāo)IP：3傳過來的指令，通過該文件后門向系統(tǒng)發(fā)出休眠指令使得系統(tǒng)進(jìn)入休眠狀態(tài)。開始分析1：Lab01-01.dll使用工具1：PEid得出現(xiàn)象：如圖2初步結(jié)果：說明這是一個用C++6.0編譯出來的.exe文件，但是并沒有識別出被加殼過，至于入口點(diǎn)，文件偏移，連接器版本，PE段，首字節(jié)，子系統(tǒng)類的值就不一一介紹了。使用工具2：strings〔這一微軟提供的一個系統(tǒng)分析工具包的一個工具，只要是負(fù)責(zé)字符串搜尋〕得出現(xiàn)象：得出的現(xiàn)象如圖5，6：上面上面顯示的很明顯，首先有調(diào)用Kernel32.dll里的圖5這么幾個函數(shù)，很明顯是實(shí)現(xiàn)創(chuàng)立、查找，退出文件功能，然后還有一個就是圖6的兩個文件，Kernel32.dll與kerne132.dll，者是一個很明顯的文件混淆，著可以判斷它是不是它進(jìn)行創(chuàng)立一個kerne132.dll文件與Kernel32.dll文件混淆在一起呢？初步結(jié)果：創(chuàng)立一個kerne132.dll文件，和kerne32.dll文件混淆在一起，起到一個隱藏作用。使用工具3：dependency得出現(xiàn)象：首先是分析調(diào)用的Kernel32.dll里面的函數(shù)。如圖14：在kernel32.dll文件中調(diào)用了CopyFileA，CreateFileA，F(xiàn)indClose，F(xiàn)ineFirstA，F(xiàn)indNextA函數(shù)實(shí)現(xiàn)文件創(chuàng)立，查找，復(fù)制功能，這也進(jìn)一步確認(rèn)了strings上搜索到的數(shù)據(jù)和推斷。再對MSVCRT.DLL查詢分析，這是一個多線程調(diào)用函數(shù)動態(tài)鏈接庫〔如果對這個文件不是很熟悉的話可以到微軟官網(wǎng)上去查詢，/en-us/library/abx4dbyh.aspx〕，里面還可以查詢細(xì)致到某個函數(shù)的作用〕如圖15：可能是本人功力尚淺，并沒有覺得什么可以的地方值得疑心。初步結(jié)果：進(jìn)一步判定它是執(zhí)行文件創(chuàng)立，查找，復(fù)制，關(guān)閉功能。使用工具4：PEview得出現(xiàn)象：首先查看的是該程序的文件頭數(shù)據(jù)，如圖20：該程序的可擴(kuò)展頭信息，如圖21：然后再重點(diǎn)查看他的數(shù)據(jù)段.rdata和.data，.rdata數(shù)據(jù)如圖22：看到了它調(diào)用的Kernel32.dll里面的CopyFileA，CreateFileA，F(xiàn)indClose，F(xiàn)ineFirstA，F(xiàn)indNextA函數(shù)。也調(diào)用MSVCRT.dll多線程庫里面的函數(shù)執(zhí)行線程調(diào)用。再看.data區(qū)段里面的數(shù)據(jù)，如圖23：這里面的數(shù)據(jù)就精華豐富了，首先是兩個近似函數(shù)Kernel32.dll與Kerne132.dll，初步判斷是進(jìn)行文件混淆目的。然后是一個系統(tǒng)目錄路徑，一個函數(shù)Kerne132.dll，初步判斷是這個路徑和Kerne132.dll存在某種關(guān)聯(lián)。然后再來兩個Kernel32.dll和Lab01-01.dll，Lab01-01.dll這很明顯就是上面分析的.dll文件，所以初步判定是這個程序需要調(diào)用到Kernel32.dll和Lab01-01.dll。然后是系統(tǒng)路徑和Kernel32.dll文件，和一個函數(shù)。這就是說調(diào)用到系統(tǒng)路徑里的Kernel32.dll文件的某個函數(shù)初步結(jié)果：眾多聯(lián)系起來可以進(jìn)一步判斷，這個程序?qū)崿F(xiàn)的功能是在系統(tǒng)路徑中尋找，創(chuàng)立，復(fù)制一個Kerne132.dll文件，然后還調(diào)用了Lab01-01.dll文件實(shí)現(xiàn)它里面的功能。使用工具5：resourcehacker得出現(xiàn)象：同樣也沒分析出結(jié)果，這有點(diǎn)異常，剛剛還能分析出兩個數(shù)據(jù)，一個是界面代碼，一個書二進(jìn)制數(shù)據(jù)?，F(xiàn)在得到的卻是空白如圖25：初步結(jié)果：未有價(jià)值的信息使用工具6：WinMD5得到結(jié)果：bb7425b82141a1c0f7d60e5106676bb1Lab01-01.exe分析對象的分析結(jié)果：該文件并沒有加殼，她住要實(shí)現(xiàn)的功能是，調(diào)用Kernel32.dll文件的相關(guān)函數(shù)，實(shí)現(xiàn)在系統(tǒng)目錄里面遍歷查找是否存在Kerne132.dll文件，如果不存在就進(jìn)行創(chuàng)立Kerne132.dll文件，進(jìn)行混淆Kernel32.dll文件，然后再調(diào)用Lab01-01.dll文件，實(shí)現(xiàn)它的功能結(jié)合兩個分析對象得出的結(jié)論：該文件并沒有加殼，她住要實(shí)現(xiàn)的功能是，調(diào)用Kernel32.dll文件的相關(guān)函數(shù)，實(shí)現(xiàn)在系統(tǒng)目錄里面遍歷查找是否存在Kerne132.dll文件，如果不存在就進(jìn)行創(chuàng)立Kerne132.dll文件，進(jìn)行混淆Kernel32.dll文件，然后再調(diào)用Lab01-01.dll文件，實(shí)現(xiàn)通過聯(lián)通網(wǎng)絡(luò)，然后接受目標(biāo)IP：3傳過來的指