恶意代码分析实战 Lab 3-1 习题笔记

admin管理员组

文章数量:1639678

Lab 3-1

问题

1.找出这个恶意代码的导入函数于字符串列表。

解答： （动态分析建议用winxp pro 32bit，下面你就知道为什么这么建议了）我们用Dependency Walker会发现这个程序只有很少的导入函数，第一是怀疑是不是加壳了

然后我们PEiD来看，的确是加壳了

然后就开始尝试脱壳了

万能脱壳这次不是万能的了

目前我们知道的唯一个导入函数就是ExitProcess

然后查看一下字符串

前面大部分的字符串都是乱码，但是后面的字符串中可以看出这里有个网址，还有一个vmx32to64.exe，还有一些注册表的位置，然后我们开始开启另一个虚拟机准备进行动态分析

我们准备好必要的软件，然后做好备份快照

第一个就是ApateDNS这个软件

记得把DNS修改为127.0.0.1，然后点运行这个软件实际运行是这样子的

我这是打开了一个浏览器，然后这是浏览器的所有DNS请求，当我在写个博文的时候，这个表还一直往下刷新着

然后就是安装INetSim，这个只能安装在Linux上，所以我打算用CentOS7来安装。

（2017-8-29）

---

（2018-8-31）

经过一天的努力，终于在CentOS7上安装成功了，安装博文在这里 —> 安装INetSIm在CentOS7上

后面附上了部署好INetSim的CentOS镜像下载链接

那我们继续分析这个恶意代码

2.这个恶意代码在主机上的感染迹象特征是什么？

解答： 那就开始动态分析了

我们先配置用于运行病毒程序的虚拟机的网络（注意，最好不是静态分析的那台主机，因为这台虚拟机只需要比较小的硬盘分配，然后少量必要的分析软件，这样每次备份可以只占很小的内存，如果是静态分析那台机器，每次备份都是好几10G）

ip地址可以随便设为内网中一个没有人用的IP，然后子网掩码按实际情况填写，最后就是网关这里，设置为我们安装好INetSim那台机器的IP，我这里是192.168.0.107，然后DNS设置为本机127.0.0.1，因为我们在本机装了ApateDNS，所以设为本机可以看到恶意代码请求的DNS

然后访问INetSim的IP地址，看看端口开了没有，服务起了没有

如果没起，去/home/inetsim/inetsim-xxx/下起一下，然后/root/下开端口脚本运行一下

然后这时候我们最后一次做一次windows的快照，准备运行恶意代码分析

确保你的虚拟机上安装了这么几个软件

然后劳资准备了这么多，竟然windows7运行不了。。。看来只能换winxp了，以后动态分析全都迁移到winxp上

Windows 7 pro x64运行病毒失败

---

下面我准备了一个Windows XP 32bit版的虚拟机，再试试

Windows XP 32bit 不行，ApateDNS运行不起来，换64bit版本

然后我又从官网下了一个，还是不行，运行不了

因为官网说了支持XP，不管是32还是64

但是我的就是不行。。。不知道什么原因，镜像是从MSDN我告诉你下的

不管其他了，我们再试试运行病毒看看

Windows XP x86运行失败

---

然后我们再试试Windows XP pro 64，这也是在MSDN我告诉你下的

用的是网上找到的一个激活码激活的

然后我们开看看能不能运行病毒文件 Lab 03-01.exe

依旧还是不能运行这个病毒

Windows XP PRO x64运行病毒失败

---

我们再试试其他的XP版本，最后会发现

Windows XP PRO x86运行病毒成功

当我用这个版本的XP去运行病毒的时候，病毒程序没有报错和各种诡异，安静得执行了，ok，我们分析继续

然后恢复运行前快照发现，网卡驱动有问题，上不了网。。。我先下个驱动网卡版再来试试。。。

然后现在的问题是ApateDNS没法在winxp上运行，这就很麻烦了，这本书感觉有点扯

现在是打算用Kali的一个工具来进行DNS的fake，但是这个工具运行在Windows又是各种依赖问题，我打算运行DNSChef在CentOS上，虽然INetSim也可以进行fake，但是没法像ApateDNS那样记录DNS查询

从这个网站上下载DNSCHEF

DNSChef

然后缺了几个Python的库，安装一样，确保能运行就ok了

然后我们运行

./dnschef.py --fakeip=192.168.0.107 --logfile=log.txt --interface=192.168.0.108

108是我部署了DNSChef的虚拟机，107是INetSim的虚拟机，remember？

我将所有的DNS查询都指向了192.168.0.107，然后把log存在了log.txt中

记得开端口，我是CentOS 7，所以如果你也是一样的话，执行

firewall-cmd --permanent --zone=public --add-service=dns

然后重载防火墙使其永久生效

firewall-cmd --reload

本地测试可以这样测试是否已经起了DNSChef

将Windows的DNS服务器地址指向108

然后执行

nslookup u

随便打的域名

然后显示这样，就算成功了

如果显示这样的话，说明不成功，这个部署DNSChef的我就不单独拿出来讲了

然后现在我们总算可以开始分析了

在运行之前，我们先做好系统准备，比如建立系统注册表的快照，把wireshark启动，把Process Explore打开之类的，然后准备好之后做系统快照

然后就可以看到这个程序执行了DNS查询

去除那些干扰的地址，我们明显可以看到这么一个地址

放大一点可以看到这是

www.practicalmalwareanalysis

然后这是DNSChef能发现的所有了

然后我们看注册表

可以看出程序一共修改了17处的注册表，其中，增加了2个键，3个值，改变了12个指

新建的键是上面这2个，新建了两个打印的键

新添加的值是上面这3个，一个是开机启动的值，为C:\\WINDOWS\\system32\\vmx32to64.exe

然后的两个是打印机的目录

然后最后就是改变的值的地方，改变一个密钥的种子（下面）

已改变值 (12) 快照 A 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG] 
"Seed"=hex:c5,31,0a,80,07,17,9a,3b,fe,19,43,51,06,dd,a3,33,fd,9c,a5,bf,f6,66,\
  b5,6b,15,b1,80,b2,26,54,b0,9e,a4,6b,88,71,13,f6,bc,8c,aa,56,41,25,f1,50,cc,\
  d1,de,22,f3,7a,da,02,9c,3f,1d,49,b2,34,ee,2e,fb,a3,29,a0,8e,39,02,dc,42,db,\
  d5,8e,ed,3a,fc,8f,5d,99 
"Seed"=hex:a3,24,85,6a,69,87,5f,8b,33,ac,2a,eb,0f,d1,dc,b5,45,e4,66,71,8b,a4,\
  5a,c6,64,ab,e4,31,cd,17,ce,25,1a,72,b9,3c,c0,db,38,46,73,5b,50,f6,3b,01,14,\
  07,a8,50,4c,c3,f5,a8,ef,1a,56,00,a0,2c,3b,df,32,f9,32,9d,e1,6a,14,9e,ed,07,\
  cb,8d,e2,d2,15,c7,e0,0a 

然后下面这个Prefetcher是Windows的预取程序，用于程序的快速载入
下面应该是病毒把自己写进了快速启动了

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] 
"TracesProcessed"=dword:00000000 
"TracesProcessed"=dword:00000008 
"TracesSuccessful"=dword:00000000 
"TracesSuccessful"=dword:00000005 
"LastTraceFailure"=dword:00000000 
"LastTraceFailure"=dword:00000004 

下面这个是改一个打印的API的LogonTime(登录时间)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers] 
"LogonTime"=hex:54,c1,de,86,f9,22,d3,01 
"LogonTime"=hex:a6,f1,db,8c,07,23,d3,01 

原始的值如下

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT] 
"EventMessageFile"=hex(2):63,00,3a,00,5c,00,77,00,69,00,6e,00,64,00,6f,00,77,\
00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,00,\
  53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00

把对应的十六进制翻译成ASCII如下，NUL表示空字符

"c", ":", "\", "w", "i", "n", "d", "o", "w", \
"s", "\", "s", "y", "s", "t", "e", "m", "3", "2", "\", "E", \
"S", "E", "N", "T", ".", "d", "l", "l", "NUL"

连起来就是

c:\windows\system32\ESENT.dll

改变后的值如下

"EventMessageFile"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,\
  00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,00,\
  53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00 

翻译过来就是

"C", ":", "\", "W“， "I", "N", "D", "O", "W", \
"S", "\", "S", "y", "s", "t", "e", "m", "3", "2", "\", "E", \
"S", "E", "N", "T", ".", "d", "l", "l"

也就是

C:\WINDOWS\System32\ESENT.dll

总的来说就将

c:\windows\system32\ESENT.dll

变成了

C:\WINDOWS\System32\ESENT.dll

这两个写法引用的路径是一样的，应该是恶意代码的作者习惯了下面这种写法

原始

"CategoryMessageFile"=hex(2):63,00,3a,00,5c,00,77,00,69,00,6e,00,64,00,6f,00,\
  77,00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,\
  00,53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00 

翻译一下：

"c", ":", "\", "w", "i", "n", "d", "o", \
"w", "s", "\", "s", "y", "t", "e", "m", "3", "2", "\", "E", \
"S", "E", "N", "T", ".", "d", "l", "l"

和上面第一个是一样的

c:\windows\system32\ESENT.dll

改变后

"CategoryMessageFile"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,\
  57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,\
  00,53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00 

这个对照了一下也是和上面一样的

C:\WINDOWS\System32\ESENT.dll

然后就是把小写的c变成了大写的C，字母大小写变了一下，实际引用的位置并没有变

安装网上的说法，ESENT是一种嵌入式数据库引擎，最新版的Windows版本已经内置了esent.dll，不知道这个程序要用数据库干啥

下面这个上面分析了

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers] 
"LogonTime"=hex:54,c1,de,86,f9,22,d3,01 
"LogonTime"=hex:a6,f1,db,8c,07,23,d3,01 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT] 
"EventMessageFile"=hex(2):63,00,3a,00,5c,00,77,00,69,00,6e,00,64,00,6f,00,77,\
  00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,00,\
  53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00 

翻译一下就是上面那个

c:\windows\system32\ESENT.dll

"EventMessageFile"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,\
  00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,00,\
  53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00 

这个也是

C:\WINDOWS\System32\ESENT.dll

下面的一样

"CategoryMessageFile"=hex(2):63,00,3a,00,5c,00,77,00,69,00,6e,00,64,00,6f,00,\
  77,00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,\
  00,53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00 
"CategoryMessageFile"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,\
  57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,\
  00,53,00,45,00,4e,00,54,00,2e,00,64,00,6c,00,6c,00,00,00 

下面是另一个改变了的注册表

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections] 
"SavedLegacySettings"=hex:3c,00,00,00,1c,00,00,00,01,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,00,7d,f5,a4,f5,22,d3,01,01,00,\
  00,00,c0,a8,00,05,00,00,00,00,00,00,00,00 

翻译一下就是

NUL是空字符， FS是文件分割符， SOH是标题开始， EOT是传输结束

"<", "NUL", "FS", "NUL", "SOH", "NUL", "NUL", "NUL", \
"NUL", "NUL", "NUL", "NUL", "EOT", ...

后面就是一些ASCII的扩展编码了，这个应该不是一个可读的字符串，应该是二进制配置

"SavedLegacySettings"=hex:3c,00,00,00,1d,00,00,00,01,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,00,7d,f5,a4,f5,22,d3,01,01,00,\
  00,00,c0,a8,00,05,00,00,00,00,00,00,00,00 

还有这个改变处

[HKEY_CURRENT_USER\SessionInformation] 
"ProgramCount"=dword:00000002 
"ProgramCount"=dword:00000004 

然后我们在看进程

用书上的方法，查看Handles，可以发现以下的这么几个handle，倒数第五个就是书中说的创建的那个互斥变量名叫WinVMX32，因为虚拟机分辨率的问题，看的不是很清的样子，然后书中没有说的是正数第六个的\Device\KsecDD的文件描述符

Ksecdd组件提供内核安全设备驱动程序(MSDN)

然后我们再看导入的DLL

书中所说的，导入了ws2_32.dll和wshtcpip.dll，说明了它具有联网的功能，这个我们在DNS解析上就可以发现，他会DNS查询一个特殊的网址

书中下一步是用procmon工具来寻找额外的信息

这是从进程中导出的字符串，书上没有说到的

完整的复制出来就是下面这样的

nﾉnﾉn
qﾉn
Nﾉn
WMV
jjﾍ￴
uaE￉
ￌﾋz
Lsￆ
ￃIﾋﾃ
eﾽﾸ
yﾌn
iBﾅ
f>uﾃ
Puﾃ
jjjjjjﾍﾓ
uPﾅ
!This program cannot be run in DOS mode.
Rich
.text
`.data
ExitProcess
kernel32.dll
cks=u
ttp=
cks=
CONNECT %s:%i HTTP/1.0
QSRW
PWW
thj@h
PWW
VSWRQ
QVlM
^-m-m<|<|<|M
advapi32
ntdll
user32
Jbh
QQVP
ucj
advpack
StubPath
SOFTWARE\Classes\http\shell\open\commandV
Software\Microsoft\Active Setup\Installed Components\
test
www.practicalmalwareanalysis
admin
VideoDriver
WinVMX32-
vmx32to64.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
PWj
AppData
VQj
ViW

我们去除一些无意义的字符串

!This program cannot be run in DOS mode.   //这个是编译器自动生成的，编译器的类型应该是vs的编译器
Rich   //这个很有可能是作者的名字（猜测）
.text   //这个有点像PE头的text字段
`.data   //这个和上面一样，但是多了一个符号，很有可能和上面的一起，是注释
ExitProcess   //有可能是注释
kernel32.dll   // 可能注释
CONNECT %s:%i HTTP/1.0   //这个有可能是程序的printf类的函数的参数，%s可能是域名，%i作用和%d差不多（其实差别很大，但是为了方便理解，这里可以把%i看出%d），应该是端口号
advapi32   //这是提供基本函数的链接库
ntdll   //底层API实现库
user32   //这个是windows用户界面相关应用程序接口
advpack   //用来帮助硬件和软件读取和验证.INF文件，INF是硬件设备制造商发布起驱动程序的一种文件格式（说明这个病毒很有可能要去感染某个驱动)
StubPath   //不明的某个路径
SOFTWARE\Classes\http\shell\open\commandV   //打开一个http的shell command
Software\Microsoft\Active Setup\Installed Components\   //安装程序
test   //可能是注释
www.practicalmalwareanalysis   //恶意域名
admin   //有可能是下载网站或者恶意代码的用户名
VideoDriver   //显卡驱动（很有可能会感染显卡驱动)
WinVMX32-   //那个互斥变量的名字，后面多了一个字符，有可能是注释
vmx32to64.exe   //一个程序的名字
SOFTWARE\Microsoft\Windows\CurrentVersion\Run   //运行其他程序
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
AppData   //这个，应该是什么吧，不懂

然后我们查找一个vmx32to64.exe有没有在系统中

查找出来了，在C:\WINDOWS\system32下面有这个文件

然后就是用procmon来分析这个程序了，因为在现在不管是微软也好，各大下载网站也好，都提供的是最新版的procmon的下载，这个版本是没法运行在winxp上的，能运行在winxp上的是3.20版本的procmon，如果你找不到，这里有个下载链接（这也是最近才发现的，写最上面的时候还没找到）

链接: https://pan.baidu/s/1qXVhofi 密码: fs3g

然后下面我们用这个procmon来看

我们先通过进程名称(process name)来筛选

然后点ok就行了，它会提示你要不要add，add就可以了

这就是过滤出来的结果，但是结果很多

然后我们在最后的地方，会发现这个有个 tcp连接的标识

用的是https的方式

然后增加过滤为WriteFile可以发现

程序会向系统的一个目录下面写入这么一个文件，然后长度是下面这个7168字节

然后再过滤RegSetValue这个

写入了一个注册表，自动运行vmx32to64.exe

然后后面的分析就是和作者差不多了

最后的结论就是感染迹象就是那个vmx32to64.exe文件的存在与否

3.这个恶意代码是否存在一下有用的网络特征码？如果存在，它们是什么

解答： 网络特征码就是那个恶意域名的解析过程和https的连接

本文完

本文标签： 习题恶意代码实战笔记Lab