病毒分析第一講,分析病毒注意事項,以及簡單分析主要功能
一丶認識木馬和病毒的區別
木馬和病毒是兩個不一樣的,有人會把木馬認為是病毒,但其實不是
說下區別
木馬:
木馬沒有破壞性,木馬主要功能是收集用戶信息,控制機器等等.
病毒:
病毒一般帶有破壞性的行為,比如格式化盤符,修改電腦的文件,傳染....
二丶分析病毒的前提准備
1.在分析病毒樣本之前,首先要把病毒的名字修改一下.
比如:
,加上.v后綴
2.使用虛擬機進行分析(當然你可以用真機分析,^_^),並且建立虛擬機快照
虛擬機軟件
3.建立快照
建立快照之前,建議把所以該用到的工具進行配置.配置好了一切就可以開始正常操作了.
-
4.觀察病毒行為
1.第一種分析方式
關鍵API下斷點
CreateFile CreateProcess OpenProcess, WriteProcessMemory VirtualAllocEx,服務相關,注冊表相關,網絡相關,因為只要是病毒,肯定會操作的.
2.第二種分析方式
使用一種觀察其行為的工具,在虛擬機中看看在怎么做.
工具:
工具會打包上傳
安裝好之后的界面:
設置:
工具-選項-保護-設置保護模式
1.學習模式, 可以檢測特定程序的使用的關鍵API,比如: 創建文件,修改內存...但是不阻止
2.正常模式,正常模式則會在調用這些關鍵API之后,則會問你是否允許操作
3.安靜模式,安靜模式則不操作,不提示.
三丶在學習模式下,觀看病毒行為
一丶分析病毒的基本行為
此時,我們可以把我們的病毒樣本放到虛擬機中運行了,如果建立了快照,則可以運行起來了,到時候恢復快照即可.
病毒樣本:
拖放到虛擬機中運行,先打開Mal病毒分析工具
並運行.
第一步初次分析得到
可以得出
1. 主體樣本會釋放 SampleSrv.exe子體
2.主體創建進行,運行SampleSrv.exe
3.主體不斷的修改其他進程內存
4.子體SamPleSrv.exe釋放DestToplayer.exe
5.字體SamPleSrv.exe創建進行運行了DestToplayer.exe
6.Desttoplayer.exe運行iexplore.exe
7.Iexplore.exe修改注冊表的值
8.Iexplore.exe不斷的修改文件
由此得出流程圖
二丶根據第一次分析,分析具體怎么做.
根據第一次的分析,我們發現Iexipore.exe (也就是IE瀏覽器)不斷的修改文件(感染文件)
1.附加感染文件
那么此時,我們OD附加一下,然后在CreateFile下斷點,因為感染文件肯定會打開文件.
OD附加進程是存在的,因為創建進程的時候,窗口已經隱藏了.
2.打開模塊,關鍵api下斷點
ALT + E打開
CTRL + N 查看CreateFile
3.關鍵API下斷點
4.棧回溯看其誰調用
5.查看節,看下屬於哪個節
屬於一個堆內存
節區開始是
2001000
大小是 D000
我們跳轉到這個節地址
在內存中看到,它是一個EXE? MZ開頭
我們查看下OEP,然后在內存中DUM這塊內存下來.
B0開始是我們的PE頭,那么 OEP的入口點是7C79
直接DUp內存
6.Dup內存
首先用的這個工具是OD插件中帶的.網上可以查到很多.(工具會打包)
7.IDA分析dump出來的文件
7.1,分析導入表,查看CreateFile被誰引用
按X鍵看被誰引用
一步一步往上跟
第一次跟到這里,我們點擊上面的注釋哪里,可以繼續網上跟,看誰引用了.
注意,上面的注釋沒有我這么多我們要設置一下
中文:設置 - > 常規 - > 顯示交叉參考 - > 設置你喜歡的數目
英文: Options - > General - > Cross-references -> disassembly(Non-Graph) -> 設置你喜歡的
一層一層的交叉引用展開,粗略的按下F5鍵看一下,其中一個是修改PE文件的,暫時可以將這個引用修改為 修改PE 節(ChangePE Sections)
一層一層的往上跟可以看到遍歷文件,所以我們修改一下函數名字
繼續網上跟可以看出獲得磁盤驅動器的函數
按下x,看下此函數誰調用的.我們發現它是一個線程開辟去做的事情,那么這個線程看下是誰用的.
那么繼續往下追則是DLLEntry了,也就是 DLL main DLL的入口點了.
由此得出,這個是DLL,被注入的IE中的,然后執行程序,不斷循環遍歷文件,進行感染exe文件的.
那么我們要知道怎么注入的,在上面的沙箱中也沒看到,明天講解.
鏈接: https://pan.baidu.com/s/1eRSOjpK 密碼: 19jt