标签：__ 家客 函数 恶意代码 恶意软件 脱壳 加壳 Size

Lab1-2

分析Lab1.2.exe文件

目录

Lab1-2

2. 是否有这个文件被加壳或混淆的任何迹象？

3. 有没有任何导入函数能够暗示出这个程序的功能？

4. 哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器？

---

 

2. 是否有这个文件被加壳或混淆的任何迹象？

利用PEID进行查看

普通扫描如下：

普通扫描没有发现加壳

 

然后看section，name是upx。

==》对比下脱壳后的效果：

 

 

 

但注意到了EP Section中的标识为UPX１，说明这个exe文件很可能用了一个UPX技术的变种

然后我们用Dependency Walker，我们就会发现这个代码的导入表KERNEL32.DLL 中有两个函数LoadLibraryA,GetProcAddress.这两个函数都是加壳的迹象，因为加壳的程序运行时候脱壳是必须要这两个函数的.

 

下面再使用PE viewer进一步检测：

首先该程序的节部分就非常的可疑,这里显示的是UPX0,UPX1,UPX2.不是常见的.text .data .rdata .rsrc,很明显这是UPX加壳后的表现.下面通过虚拟大小与原始数据大小的对比就可以实锤UPX加壳了.

分节	虚拟大小	原始数据大小
UPX0	00004000	00000000
UPX1	00001000	00000600
UPX2	00001000	00000200

在IMAGE_SECTION_HEADER UPX0中可得出Virtual Size 为00004000 Size of Raw Data为00000000, 所以Virtual Size 比Size of Raw Data大
且IMAGE_SECTION_HEADER UPX1和IMAGE_SECTION_HEADER UPX2中的也是Virtual Size比Size of Raw Data大,所以可以确定该程序被加壳了.

 

核心扫描如下：

核心扫描发现upx加壳

发现加壳后，要进行脱壳操作，可以利用ollydbg进行手动脱壳，具体操作在另篇博文，博文稍后会发。

或者进行upx自动脱壳

dos命令

 图形窗口

用free upx也可以脱壳！

 

 

3. 有没有任何导入函数能够暗示出这个程序的功能？

利用studyPe进行查看脱壳后的upLad01-02.exe

 

或者使用微软的strings工具，我的输出：

Practical Malware Analysis Labs\BinaryCollection\Chapter_1L>strings Lab01-02_2022-10-01@13_32_14.745.exe

Strings v2.54 - Search for ANSI and Unicode strings in binary images.
Copyright (C) 1999-2021 Mark Russinovich
Sysinternals - www.sysinternals.com

!This program cannot be run in DOS mode.
e
Rich
.text
`.rdata
@.data
@jj

h(0@
  @
Vh(0@
, @
@jjjj
L$,j
@jjj
@jjj
T$
$ @
( @
u+W
=0 @
jjj
@jj

VWj
jjj
hT0@
t @
=p @
jh
h00@

 SVW
` @
\ @
|0@
X @
x0@
T @
=l0@
P @
t0@
5p0@
EPEPE
H @
D @
@ @
8 @
%< @
%L @

%d @
%h @
KERNEL32.DLL
ADVAPI32.dll
MSVCRT.dll
WININET.dll
SystemTimeToFileTime
GetModuleFileNameA
CreateWaitableTimerA
ExitProcess
OpenMutexA
SetWaitableTimer
WaitForSingleObject
CreateMutexA
CreateThread
CreateServiceA
StartServiceCtrlDispatcherA
OpenSCManagerA
_exit
_XcptFilter
exit
__p___initenv
__getmainargs
_initterm
__setusermatherr
_adjust_fdiv
__p__commode
__p__fmode
__set_app_type
_except_handler3
_controlfp
InternetOpenUrlA
InternetOpenA
MalService
Malservice
HGL345
http://www.malwareanalysisbook.com
Internet Explorer 8.0

 或者使用PEID，当然dependency walker也是ok的：

 

 

 

有对互斥体进行操作的函数OpenMutexA、CreateMutexA函数；

 

有创建服务相关函数：CreateServiceA、StartServiceCtrlDispatcherA、OpenSCManagerA。

打开链接函数InternetOpenA和InternetOpenUrlA；

 4. 哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器？

使用IDA进行分析upLad01-02.exe，Strings窗口中可以发现这个恶意代码的网络迹象。

 一个Malservice服务名称（邮寄服务），一个链接，一个浏览器类型。

可以通过监视网络流量检查被恶意代码感染的主机。

 

标签：__,家客,函数,恶意代码,恶意软件,脱壳,加壳,Size
From： https://www.cnblogs.com/bonelee/p/16747301.html