henrysTesting/Malware-Analysis

# 恶意软件分析 **作者：** Henry | **日期：** 2024年11月27日 **文件：** Lab10.exe | **MD5：** `1DD536A933E96631F76CE925C8883C30` ## 问题描述 分析一个未知的 32 位 Windows 可执行文件，以识别其恶意行为、规避技术以及失陷指标（IOCs）。 ## 分析操作 ### 所用工具 - **静态分析：** die (2.0), CFF Explorer, PEview, Strings, Resource Hacker - **动态分析：** Procmon, Process Explorer, Autoruns, Wireshark - **分析环境：** Windows 沙箱虚拟机 (32-bit) ### 分析方法 1. **静态分析：** PE 头检查、DLL 枚举、字符串提取、加壳检测 2. **动态分析：** 监控执行期间的文件系统、注册表、网络和进程行为 ## 分析结果 ### 文件属性 | 属性 | 值 | |----------|-------| | 类型 | 32-bit PE 可执行文件 | | 大小 | 35 KB | | 编译时间 | September 12, 2018 | | 加壳工具 | MPRESS v2.19 | | 运行要求 | 管理员权限 | ### 关键失陷指标 (IOCs) **哈希值：** - MD5: `1DD536A933E96631F76CE925C8883C30` - SHA-1: `3F7B07842D2CCD990A43EFE6AA917A6181A6CE8C` **注册表修改：** - `HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 1` (禁用任务管理器) - `HKLM\System\CurrentControlSet\Services\Tcpip\Parameters` (被修改 7 次) **文件操作：** - 创建 `1.exe` (35,840 字节) - 自身重命名为 `2.exe` - 生成子进程以删除 `2.exe` **进程链：** ``` Lab10.exe → cmd.exe → 1.exe → Notepad.exe ``` ### 恶意行为 | 行为 | 目的 | |----------|---------| | 禁用任务管理器 | 对用户隐藏正在运行的进程 | | 文件重命名与删除 | 移除执行痕迹 | | 多进程生成 | 混淆恶意操作 | | 鼠标按键交换 | 干扰功能 (USER32.SwapMouseButton) | | 网络功能 | ICMP 回显/ping (IPHLPAPI.IcmpSendEcho) | | 注册表篡改 | 系统修改与权限维持 | | 动态导入 | 通过 GetProcAddress 隐藏真实功能 | ### 导入的 DLLs - **KERNEL32:** 核心操作系统功能 - **USER32:** UI 操作（鼠标按键交换） - **ADVAPI32:** 注册表与服务访问 - **IPHLPAPI:** 网络操作 (ICMP) - **WS2_32:** 套接字操作（潜在 C2 通信） ### 规避技术 1. **MPRESS 加壳** – 混淆代码以规避静态分析 2. **文件自删除** – 移除执行轨迹 3. **多阶段执行** – 跨进程分布操作 4. **动态函数解析** – 在导入表中隐藏实际功能 ### 分类 **类型：** 木马 / 后门 **风险等级：** 中高（防御规避 + 网络功能 + 注册表访问） **影响：** 系统修改、权限维持、潜在 C2 通信 ## 查看完整报告 包含截图和工具输出的详细分析可在 `Lab10.docx` 中找到

标签：DAST, DNS 解析, IOC提取, MPRESS壳, PE文件分析, SSH蜜罐, Windows可执行文件, 云安全监控, 云资产清单, 免杀技术, 后门分析, 命令行执行, 嗅探欺骗, 威胁情报, 安全实验室, 开发者工具, 恶意软件分析, 执行, 暴力破解检测, 权限维持, 样本分析, 注册表修改, 私有化部署, 系统策略修改, 网络安全, 进程创建, 进程注入, 进程链分析, 逆向工程, 防御规避, 隐私保护, 静态分析