动态分析Lab07-03.exe

目录

• 1.静态分析确定的线索
• 2.动态分析对上述线索的验证分析过程
  • （1）基础动态分析
    • Process Explorer
    • Process Monitor
    • Wireshark抓包
  • 比对运行前后的摘要值
  • （2）分析DLL文件
• 3.动态分析的结论
• 4.动态分析中尚不能确定，有待进一步分析的内容

1.静态分析确定的线索

IP：127.26.152.13

Lab07-03.dll

kerne132.dll

2.动态分析对上述线索的验证分析过程

（1）基础动态分析

Process Explorer

可以看到，进程只有一个Lab07-03.exe

Process Monitor

可以看到，进程创建了可疑的LAB07-03.EXE-268B8529.pf文件，且pf文件经检测后没有病毒

但是没有发现kerne132.dll和Lab07-03.dll文件

Wireshark抓包

抓不到任何相关的包

比对运行前后的摘要值

可以发现，hash值没有任何变化。

（2）分析DLL文件

可以发现确实存在kerne132.dll和Lab07-03.dll以及WARNING_THIS_WILL_DESTROY_YOUR_MACHIHE的字样

Ping 可疑IP地址后发现是127.0.0.1响应，说明是回环地址

Onlydbg运行后发现程序会自动终止在ntdll.NtTerminateProcess+0c

分别搜索kerne132.dll和Lab07-03.dll，没有任何发现

3.动态分析的结论

1、这个程序无法根据静态分析达到目的，或许是缺失了关键dll文件。

2、程序创建了一个LAB07-03.EXE-268B8529.pf文件

3、程序一直在打开dll文件进行读取，但是没有进行写文件的操作

4.动态分析中尚不能确定，有待进一步分析的内容

1、无法完整运行程序，不知道程序后续的操作内容

2、无法判断程序是否是恶意软件