Lab13-1

分析恶意代码文件Lab13-01.exe。

问题

1．比较恶意代码中的字符串（字符串命令的输出）与动态分析提供的有用信息，基于这些比较，哪些元素可能被加密?

1.动态分析发现访问了一个域名但是在exe字符串查找并没有找到,"http://www.practicalmalwareanalysis.com/V2luWHAtNTJQb2pp".

2．使用IDA Pro搜索恶意代码中字符串‘xor’，以此来查找潜在的加密,你发现了哪些加密类型?

1.0x00401190处有个单字节循环异或0x3B的解密函数.

3．恶意代码使用什么密钥加密，加密了什么内容?

1.用了0x3b异或加密了一段字符串.还原后是一个链接"www.practicalmalwareanalysis.com".

4．使用静态工具FindCrypt2、Krypto ANALyzer (KANAL)以及 IDA嫡插件识别一些其他类型的加密机制，你发现了什么?

1.使用FindCrypt插件发现一个BASE64字符表在.rdata:004050E8处:"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

5．什么类型的加密被恶意代码用来发送部分网络流量?

1,gethostname返回的主机名字被Base64编码加密了.

6. Base64编码函数在反汇编的何处?

1.在0x4010B1处.

7．恶意代码发送的 Base64加密数据的最大长度是什么?加密了什么内容?

1.加密前最大长度0xC,加密后最大为16.

2.当前主机名字的字符串,如果超过12个字节就是前12个字节.

8．恶意代码中，你是否在 Base64加密数据中看到了填充字符(=或者==)?

1.发现了,当字符长度不能被4整除就会填充.

9．这个恶意代码做了什么?

1.访问"www.practicalmalwareanalysis.com"加上base64加了密的主机名的域名.

2.等待返回数据开头为0x6F后才结束程序.