0x001
前期基礎知識儲備
1 惡意行爲特徵,病毒,蠕蟲,木馬的認識瞭解。
2 相應工具的操作基礎學習。
0x002
系統環境
vmware12
win7 x64
0x003
工具清單
tcpview
pchunter
wireshark
process monitor
sublime
editplus
hash
depends
0x004
逆向流程
1 具體測試程序樣本test.exe
File: C:\Users\ROOT\Desktop\TEMP\test.exe
Size: 84480 bytes
Modified: Wednesday, July 13, 2016, 8:26:25 PM
MD5: 9CB934CA6A22E5716217AB9F0A27B344
SHA1: CF9A12598D4C63FC36665B163810052F9FFE8CDD
CRC32: 3379D8C8
2 先快照備份系統
process monitor打開 規則設置爲監控test.exe程序的行爲特徵。
1 進程線程行爲
2 文件訪問行爲
3 註冊表訪問行爲
4 網絡行爲行爲
5 線性事件活動行爲
3 pchunter打開
4 wireshark打開
5 tcpview打開
0x005
然後雙擊程序,捕獲行爲。
0x006
整理結果如下(記錄行爲有以下幾種)
1 該樣本程序進行了多方式開機啓動。
2 該樣本程序沒有進行網絡通信建立連接。
3 該程序進行了自刪除操作,實現隱藏自己。
4 該程序沒有釋放任何別的dll子文件。
5 二進制對比和hash校驗,沒有發現有自身文件變化。
6 註冊表創建,修改,刪除多項操作。
7 複製自身到開始啓動文件夾。