樣本分析實(shí)例
樣本是一個(gè)偽裝成wmv媒體文件的可執(zhí)行文件,如圖:
它使用了wmv文件的圖標(biāo),由于Windows默認(rèn)不顯示已知文件的擴(kuò)展名,因此目標(biāo)樣本的真實(shí)名字是WR.wmv.exe。
分析流程:
1)測(cè)試環(huán)境做一個(gè)恢復(fù)用的快照(Snapshot),使用體機(jī)的測(cè)試環(huán)境可以用Ghost來(lái)達(dá)到相同目的。
2)依次啟動(dòng)InstallRite和ProcessMonitor,先給ProcessMonitor做Filter配置:
配置時(shí)用exclude方式將與目標(biāo)樣本無(wú)關(guān)的程序如csrss.exe、installrite.exe等程序?qū)ψ?cè)表的操作過(guò)濾,只留下explorer.exe、services.exe、svchost.exe等目標(biāo)樣本可能使用到的程序。
使用InstallRite對(duì)系統(tǒng)狀態(tài)做一個(gè)快照:
注:在使用InstallRite做快照的時(shí)候可以先把ProcessMonitor的監(jiān)視暫停。
3)運(yùn)行目標(biāo)樣本
4)ProcessMonitor的監(jiān)視顯示目標(biāo)樣本運(yùn)行時(shí)啟動(dòng)了Iexplore.exe和svchost.exe:
用InstallRite對(duì)目標(biāo)樣本執(zhí)行前后的系統(tǒng)狀態(tài)進(jìn)行對(duì)比,在InstallRite的界面選ReviewInstallation查看對(duì)比的結(jié)果:
新增的文件:
新增的注冊(cè)表項(xiàng):
刪除的文件:
目標(biāo)樣本在C:\programfiles\CommonFiles\MicrosoftShared\Msinfo路徑下新建了2個(gè)文件,paramstr.txt和svchost.exe,并添加了一個(gè)叫做Svchost的服務(wù)。完成這兩個(gè)操作之后,目標(biāo)樣本把自身刪除。
