在嘗試學習分析的過程中,判斷結論不一定准確,只是一些我自己的思考和探索。敬請批評指正!
1. 安裝bufferzone及其簡單使用
(1)安裝BufferZone
-
BufferZone的msi安裝文件
-
同意許可協議並安裝在默認路徑下
-
安裝完成后重啟(一般重啟過程中會自動進行重定向)
-
安裝文件夾中的相關應用
-
bufferzone安裝后會在C盤創建C:\Virtual文件夾。所有非信任程序所做的修改都會被重定向到這個文件夾里。
-
運行bufferzone之后,有四個相關進程。
-
打開bufferzone,界面(已使用漢化語言包漢化)如下:
(2)簡單使用
-
可以編輯設定在bufferzone中運行的程序:
-
清空bufferzone時可以選擇終止進程、刪除注冊表或刪除虛擬文件。
終止bufferzone內進程:所有運行在沙盤中進程都將被結束並且未保存的信息都將被刪除。 刪除bufferzone內注冊表:刪除所有在沙盤中創建的注冊表健值,這個功能會造成所有在沙盤中安裝的程序的功能失效,除非你重新安裝。 刪除bufferzone內虛擬文件:會刪除虛擬文件夾中所有內容,如果你下載了什么文件或資料沒有移出沙盤將會被刪除。 -
可以使用快照功能:和虛擬機的快照功能相似,運行程序之后若出現問題即可通過快照恢復。
2. 使用bufferzone分析上周Lab01-04.exe文件
(1)在bufferzone中打開
-
右鍵可執行程序,可以選擇將Lab01-04移動到bufferzone中或是在bufferzone中打開:
-
若選擇移動到bufferzone中,原文件被復制到虛擬路徑下,原有程序位置出現一個指向bufferzone指定位置的一個快捷方式(重定向),並以.virtual為后綴。
-
虛擬文件夾下的程序:
-
雙擊,在沙箱中運行這個程序。在沙箱中顯示了運行Lab01-04,但是在主機上沒有發現有運行的表現。(上一次實踐推測它應該是更改了C盤下windows更新進程的相關內容,但是並沒有發現有更改)
-
可以通過查看事件日志來查看沙箱運行情況
(2)對比分析:直接運行Lab01-04.exe
-
直接在虛擬機系統上執行這個程序,在上次所分析的位置發現了問題:
運行前,在c:\Windows\system32\中的wupdmgr.exe,顯示修改日期是2008-4-14 20:00
-
運行后,顯示修改日期是
2016-4-9 22:54(做實踐截圖時雙擊運行Lab01-04.exe的時間):
-
與此同時,IE瀏覽器被打開,為Mircrosoft Windows更新頁面:
-
對比分析:我認為可能是沙箱中的運行環境沒有觸發這個程序的表現或感染條件,或者是更改了一些之前在靜態分析中我沒有注意的模塊,所以沒有發現主機被感染的相關線索。
3. 小結
- 首先,結合上周病毒分析和這周的分析,我們可以知道Lab01-04.exe的操作是從www.malwareanalysisbok.com/updater.exe進行下載,然后修改了C:\Windows\system32目錄下的Windows更新文件wupdmgr.exe,並且運行了這個程序。
- 其次,我推斷bufferzone這個沙箱的虛擬執行環境沒有觸發這個病毒的某些模塊,導致這個病毒不能完整的執行其本身的操作。(也可能是沙箱安裝問題?)
- 實踐過程中遇到的問題:安裝重啟后沒有成功重定向到C盤。
- 解決:安裝路徑如果被改變可能會導致這種情況的出現,應用默認安裝路徑C:\Program Files\BufferZone\一般就沒有這種問題了。
- 參考資料(連接在下方)中有關於bufferzone非常詳盡的講解,寫得特別全面,可惜我自己對bufferzone實際使用體驗並不好,主要是運行沙盤之后整個虛擬機太卡了,幾乎跑不動程序。