20145233计算机病毒实践5之动静态分析

Lab03-01静态分析

PEiD

• 可以看出来已经被加壳了
  

• 使用info后看到看到使用的是upx加壳
  

PEview

• PEview查看32位可移植可执行（PE）和组件对象文件格式（COFF）文件的结构和内容，提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题，章节，目录，导入表，导出表，内部信息和资源的EXE，DLL，OBJ，LIB，DBG，和其他文件类型。
• 可以看到对于程序的二进制数据
• 这有得到的传送的网络地址以及程序名称
  

Dependency Walker

• Dependency Walker是一款Microsoft Visual C++ 中提供的非常有用的PE模块依赖性分析工具
• 主要功能如下:查看 PE 模块的导入模块.查看 PE 模块的导入和导出函数.动态剖析 PE 模块的模块依赖性.解析 C++ 函数名称
• 利用这个工具可以查到调用的函数
• 可以看到因为被加壳，所以只能看到一个函数
  

动态分析

Process Explorer

• 开启Process Explorer：

• 这个程序应该是有联网的操作
  

• Regshot注册表的变化情况，进行一次注册表快照，运行之后在进行一次，并进行比较
  

*

wireshark

• 启动wireshark捕获网络信息
• 捕获到发送给网站的数据包
  

主机变化

• 可以找到生成了一个系统文件