Lab 11-2

分析恶意代码Lab11-02.dll。假设一个名为Lab11-O2.ini的可疑文件与这个恶意代码一同被发现。

问题

1．这个恶意DLL导出了什么?

导出了一个安装函数:installer安装函数负责保持dll启动.

2．使用rundll32.exe安装这个恶意代码后，发生了什么?

1.它往注册表'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows'下”AppInit_DLLs“值写入数据”spoolvxx32.dll“,不过我是在win10上测试的被拒绝访问了.

2.失败原因是因为没有用管理员权限.

3.试图打开%SystemRoot%\system32目录下Lab11-02.ini文件但是没有找到.

3.为了使这个恶意代码正确安装，Lab11-02.ini必须放置在何处?

1.需要正常安装ini必须放在%SystemRoot%\system32目录下.

4．这个安装的恶意代码如何驻留?

1.通过修改注册表'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows'下”AppInit_DLLs“值写入数据”spoolvxx32.dll“.

2.之后将自己写入%SystemRoot%\system32下,重命名”spoolvxx32.dll“,这样就会调用user32.dll的时候就会一同加载.

5．这个恶意代码采用的用户态Rootkit技术是什么?

使用了InlineHook挂钩了Send函数.

6.挂钩代码做了什么?

1.劫持了Send函数,如果发送的数据中包含字符串"RCPT TO:“,就提前发送一个数据包如下:

“RCPT TO: “是一种SMTP协议的劫持.

7．哪个或者哪些进程执行这个恶意攻击，为什么?

以下三种进程会执行恶意攻击:“THEBAT.EXE”,“OUTLOOK.EXE”,“MSIMN.EXE”,因为这些是属于邮箱软件.

8. .ini文件的意义是什么?

1.记录一些数据的,在本次实验中记录了是一段加了密的字符串,通过sub_100010B3处函数进行解密.解密后为"billy@malwareanalysisbook.com”.

9．你怎样用 Wireshark动态抓获这个恶意代码的行为?

1.你要先执行导出函数installer进行安装.

2.运行指定进程.

3.打开wireshark过滤添加SMTP.