image.png
說明加過殼了(果然如此,加的是UPX殼)
image.png
使用脫殼機(jī)直接脫殼:
image.png
脫完殼以后發(fā)現(xiàn)變得正常了:
image.png
發(fā)現(xiàn)其創(chuàng)建了一個(gè)服務(wù):重點(diǎn)懷疑的對(duì)象:
image.png
發(fā)現(xiàn)其有聯(lián)網(wǎng)的操作:(表明這個(gè)程序開了后門!)
image.png
image.png
利用strings 命令:(拖進(jìn)去的是脫完殼以后的情況)
image.png
image.png
總結(jié):
通過第一篇和第二篇的學(xué)習(xí)歌亲,簡(jiǎn)單總結(jié)一下病毒分析的一些前置步驟:
1.先將其拖至www.VirusTotal.com等相關(guān)網(wǎng)站檢測(cè);
2.可以利用010Editor查看其PE完整結(jié)構(gòu)惑申;
3.PEID登場(chǎng),將文件拖進(jìn)去之后可以判斷其有沒有加殼后豫,加混淆等
4.利用PEID查看其導(dǎo)入表被去,是否有敏感API檐晕,可以對(duì)其行為進(jìn)行推測(cè),常見的敏感API以及dll有:(會(huì)不斷更新)
ws2_32.dll(說明使用到了Socket套接字,)
kernel32.dll中的一些敏感API:sleep,createProcessA;CopyFileA;CreateServicesA,InternetOpen(InternetOpenurlA)(說明此程序連接后門了),CreateFileA,FindFirstFileA;FindNextFileA;
如果發(fā)現(xiàn)其沒有輸出表,則表明此文件十分可疑1∧濉J盏贰届案!
5.利用cmd中strings命令!
