扫一扫关注公众号,长期致力于安全研究
前言:本章讲解恶意代码分析前期的收集情况
在HW攻防中,红队的木马种类多之又多,而好多蓝队只会看看日志就去吃泡面了....更夸张来说红队做了免杀之后,蓝队甚至都无法发现。
分析工具准备:
PEView,strings,Process Explorer,Process Monitor,AateDNS,NetCat等。
恶意代码的前期分析,根据一些简单的工具来进行判断该木马进行了哪些操作,并更好的下一步操作
本次以恶意代码分析书中的Lab3-01的程序进行分析。
1.拿到程序之后,首先看一下是否加壳。
可以看到文件已经被加壳,而经过PE工具查看,唯一的导入函数是ExitProcess。
2.查看字符串
由于文件被加壳,通过strings.exe可以看到以下内容,注册表,网络特征等敏感字符串
1.通过Procmon工具进行分析
这里设置一个过滤器,选择的是Lab03这个exe,并进行监控
之后查看状态,该程序操作了注册表方面
如上图,这么多注册表相关的,我们也具体也无法知道他做了哪些注册表的操作,这里我们就用到了一个新的工具。Regshot
这个程序用法很简单,在运行恶意程序之前,首先创建快照A,当恶意程序运行之后,在创建快照B,之后该程序就可以分析出两次注册表的不同之处。
可以看到当恶意程序运行之后,注册表被更改后的内容。这样就可以快速定位恶意程序做了哪些事情。
上方只是进行行为分析,我们可以通过ApateDNS进行网络分析,我们可以看到恶意程序对下方标蓝的这个域名进行了请求。
也可以通过Netcat进行分析,这里就不做过多介绍
这只是最简单的恶意程序前期分析流程。后期深入的话,还需要具备逆向能力。希望蓝队的大佬可以深入学习一下~
下方扫一下扫,即可关注
本文始发于微信公众号(安全族):HW蓝队之恶意程序快速定位
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论