CH3 动态分析基础技术

博主： Xherlock
发布时间：2022 年 11 月 02 日
395 次浏览
暂无评论
2087字数
分类：恶意代码

# 动态分析基础技术

动态分析：运行恶意代码后进行分析，通常是在静态分析无法处理后实行，是恶意代码分析流程的第二步

## 沙盒技术-SandBox

**定义**：

* 用于安全运行程序的安全环境
* 经常被用于执行和分析非可信的代码

**作用**：

* 样本是否对硬件读写，创建了什么文件
* 样本是否进行网络连接，连接什么端口
* 创建了哪些进程（系统/用户），进程有哪些API函数调用
* 相关的可疑文件大小和MD5
* 文件是否加壳压缩
* 是否是已知病毒

**缺点**：

* 只能简单地运行可执行程序，若需要命令行执行，无法触发
* 不能记录所有事件，尤其是需要长时间等待的情况
* 虚拟机检测
* 运行环境需要特定的注册表项或文件
* 如果是一个DLL，无法正确调用执行
* 操作系统的限制
* 结论需要安全人员自己总结

## 运行恶意代码

exe：命令行或双击

dll：命令行

~~~
C:\Windows\System32\rundll32.exe DLLname, Export arguments
~~~

export值是dll文件导出函数表中的函数名或序号

![image-20221102113604978.png](http://xherlock.top/usr/uploads/2022/11/2952479061.png)

## 进程监视器

Process Monitor：可监视特定注册表、文件系统、网络、进程以及线程活动，能够进行过滤选项卡

## 进程浏览器查看进程

Process Explorer，一款用来执行动态分析的工具，类似于任务管理器

双击一个特定进程，会产生跟过有关进程的信息

进程浏览器显示的主要五栏有：进程名、进程id、CPU占比、描述、软件公司名

#### Process Explorer实验

题目：在一个安全的环境中执行给定的文件（Lab03-03.exe）中发现的恶意代码，同时，使用基础的静态分析和动态分析工具监视它的行为。

**问题**：

1. 当使用Process Explorer工具进行监视时，注意到了什么？

未运行恶意样本时：![image-20221015101019912.png](http://xherlock.top/usr/uploads/2022/11/2260094914.png)运行恶意样本后：Lab03-03.exe创建了一个svchost.exe进程，之后杀死自己的进程，保留子进程!![image-20221015101219483.png](http://xherlock.top/usr/uploads/2022/11/936289770.png)![image-20221015101310646.png](http://xherlock.top/usr/uploads/2022/11/2602729443.png)

![请输入图片描述](http://xherlock.top/usr/uploads/2022/11/3022238051.png)
2. *可以找出任何的内存修改行为吗？*

通过右键调出svchost.exe的属性，查看Strings下的镜像和内存中的字符串，对比发现不一样，说明存在内存修改行为【识别进程替换】

![image-20221015102048759.png](http://xherlock.top/usr/uploads/2022/11/1427551236.png)
3. *这个恶意代码在主机上的感染迹象特征是什么？*

创建子进程svchost.exe进行替换，在同一目录下生成practicalmalwareanalysis.log![image-

![image-20221015102621716.png](http://xherlock.top/usr/uploads/2022/11/3822521040.png)
4. *这个恶意代码的目的是什么？***记录键盘输入**，如下，我敲击了xherlock，并点击回车键，log文件中便有了相关记录![image-20221015102917309.png](http://xherlock.top/usr/uploads/2022/11/2815982099.png)由第二步查看内存中字符串可知，他记录了字母数字按键以及shift、enter、backspace、tab、ctrl、del、caps lock等常用按键

## Regshot比较注册表快照

Regshot开源的注册表比较工具，可以比较两个注册表的快照，发现差异

## 模拟网络

目的：避免连接恶意代码的真实服务器（控制服务器）

最后修改：2022 年 11 月 02 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Reverse（十一）
浏览次数: 2629
Win11新机鼓捣记录
浏览次数: 2382
栈~数制转换
浏览次数: 1604
C++学习
浏览次数: 1603
Python实现文件管理系统（重命名和删除）
浏览次数: 1575

顶点软件
你写得非常清晰明了，让我很容易理解你的观点。
mars
博主你好，请问怎么知道的alloc函数属于Buffer下的方法...
lj
该评论仅登录用户及评论双方可见
Mr.Guan
:@(赞一个)
Typecho
欢迎加入 Typecho 大家族

python实现电影日历推荐
浏览次数: 454
指令集架构
浏览次数: 751
一个简单的计算机模型MARIE
浏览次数: 1061
欢迎使用 Typecho
浏览次数: 1488
简单控件
浏览次数: 697

CH3 动态分析基础技术

Xherlock • 2022 年 11 月 02 日

# 动态分析基础技术

动态分析：运行恶意代码后进行分析，通常是在静态分析无法处理后实行，是恶意代码分析流程的第二步

## 沙盒技术-SandBox

**定义**：

* 用于安全运行程序的安全环境
* 经常被用于执行和分析非可信的代码

**作用**：

**缺点**：

## 运行恶意代码

exe：命令行或双击

dll：命令行

~~~
C:\Windows\System32\rundll32.exe DLLname, Export arguments
~~~

export值是dll文件导出函数表中的函数名或序号

![image-20221102113604978.png](http://xherlock.top/usr/uploads/2022/11/2952479061.png)

## 进程监视器

Process Monitor：可监视特定注册表、文件系统、网络、进程以及线程活动，能够进行过滤选项卡

## 进程浏览器查看进程

Process Explorer，一款用来执行动态分析的工具，类似于任务管理器

双击一个特定进程，会产生跟过有关进程的信息

进程浏览器显示的主要五栏有：进程名、进程id、CPU占比、描述、软件公司名

#### Process Explorer实验

题目：在一个安全的环境中执行给定的文件（Lab03-03.exe）中发现的恶意代码，同时，使用基础的静态分析和动态分析工具监视它的行为。

**问题**：

1. 当使用Process Explorer工具进行监视时，注意到了什么？

![请输入图片描述](http://xherlock.top/usr/uploads/2022/11/3022238051.png)
2. *可以找出任何的内存修改行为吗？*

通过右键调出svchost.exe的属性，查看Strings下的镜像和内存中的字符串，对比发现不一样，说明存在内存修改行为【识别进程替换】

![image-20221015102048759.png](http://xherlock.top/usr/uploads/2022/11/1427551236.png)
3. *这个恶意代码在主机上的感染迹象特征是什么？*

创建子进程svchost.exe进行替换，在同一目录下生成practicalmalwareanalysis.log![image-

## Regshot比较注册表快照

Regshot开源的注册表比较工具，可以比较两个注册表的快照，发现差异

## 模拟网络

目的：避免连接恶意代码的真实服务器（控制服务器）

发表评论 取消回复

CH3 动态分析基础技术

发表评论取消回复