【第6講】軟件的簡單分析【中級】

【第6講】軟件的簡單分析【中級】前面幾講給大家介紹了計算機(jī)的一些基本知識，給大家詳細(xì)講解了與軟件加馬知識聯(lián)系緊密的文件、注冊表、端口等知識，上一講讓大家安裝了虛擬機(jī)和備份了系統(tǒng)，所有這些都是為以后講解軟件加馬分析打基礎(chǔ)的，這一講我們將拿網(wǎng)絡(luò)上真實的軟件給大家講解分析（霏凡阿青），當(dāng)然使用的是最初級簡單的方法，希望大家認(rèn)真學(xué)習(xí)這一講內(nèi)容，學(xué)會這種方法的思路、步驟，并自己從網(wǎng)上找一些這樣的軟件自己分析測試一下，以便提高自己的經(jīng)驗和水平。

當(dāng)我們拿到一個軟件或者文件如何簡單知道它是否含有木馬病毒或者可疑行為？

一、提前安裝虛擬機(jī)或者給目前系統(tǒng)做一個ghost系統(tǒng)備份

我們強(qiáng)烈要求想學(xué)習(xí)這節(jié)課內(nèi)容或者想深入學(xué)習(xí)加馬分析的學(xué)員先安裝虛擬機(jī)，實在安裝不了的那也需要用ghost軟件作個系統(tǒng)備份，以防止意外事情發(fā)生，因為我們不想大家在無意中運(yùn)行了這些程序，造成學(xué)員們不必要的損失（霏凡阿青）。安裝虛擬機(jī)軟件請到置頂?shù)能浖玉R分析培訓(xùn)工具帖子中尋找下載，同時參照上一講內(nèi)容進(jìn)行安裝、使用。

【第5講】安裝虛擬機(jī)并備份系統(tǒng)【基礎(chǔ)】

/read.php?tid=1667181

虛擬機(jī)可以在你的windows里建立一個（多個）虛擬的電腦，你可以象使用普通pc那樣給他安裝系統(tǒng)，安裝軟件，添加“硬盤（虛擬）”可以完全利用既有的硬件配置。在虛擬PC里的任何變動不會影響現(xiàn)有的系統(tǒng)。這樣可以有效的保護(hù)我們的正常系統(tǒng)在分析木馬病毒時不受這些有害文件的損害（霏凡阿青），造成不必要的麻煩。如果不是在虛擬機(jī)系統(tǒng)或者沒對正常系統(tǒng)做過備份而進(jìn)行軟件加馬培訓(xùn)學(xué)習(xí)，造成的一切損失和影響，我們概不負(fù)責(zé)，由學(xué)員自己承擔(dān)一切后果。

二、檢查文件的制作、加殼、壓縮類型

首先簡單介紹一下殼，具體加殼脫殼方面的知識由制殼高手海風(fēng)月影詳細(xì)給大家講解（霏凡阿青）。借用風(fēng)飄雪的說法：殼就是作者編好軟件后，編譯成exe可執(zhí)行文件1.有一些版權(quán)信息需要保護(hù)起來，不想讓別人隨便改動，如作者的姓名、公司等2.需要把程序搞的小一點，從而方便使用，于是需要用到一些軟件，他們能將exe可執(zhí)行文件壓縮，實現(xiàn)上述兩個功能，這些軟件稱為加殼軟件。它不同于一般的winzip、winrar、7Z等壓縮軟件。加殼軟件是壓縮exe可執(zhí)行文件的，壓縮后的文件可以直接運(yùn)行。最常見的加殼軟件ASPACK、acpr、aspr、UPX、***、北斗、圍護(hù)等等。

文件的制作類型是指原始文件是用什么高級語言或者軟件制作而成。一般文件的制作、加殼、壓縮類型直接用我們第3講講解的PEID軟件就可以檢測出來（霏凡阿青），比如如果用VB語言編寫的文件，檢測顯示就是MicrosoftVisualBasic；Delphi語言編寫的文件，檢測顯示就是BorlandDelphi；VC編寫的顯示就是MicrosoftVisualC++等等。

這里需要大家記住幾個制作壓縮軟件檢測標(biāo)志：

1、如果用winrar自解壓做出的exe文件，用PEID檢測一般EP區(qū)段為UPX，檢測出的結(jié)果最后會有RARSFX的字樣（霏凡阿青），熟悉winrar加壓解壓的學(xué)員一定能看出SFX就是壓縮件的自解壓模版。

2、如果用upx壓縮的exe文件，用PEID檢測一般EP區(qū)段為text，檢測出的結(jié)果有UPX的字樣。

3、如果用innosetup打包軟件做出的exe文件，用PEID檢測一般EP區(qū)段為CODE，檢測出的結(jié)果會有Inno或者BorlandDelphi的字樣，熟悉innosetup打包軟件的學(xué)員一定能看出CODE就是inno打包時經(jīng)常用到的Pascal腳本段。

4、如果用NSIS打包軟件做出的exe文件，用PEID檢測一般EP區(qū)段為text，檢測出的結(jié)果最后會有NullsoftPiMPSFX的字樣。

三、用相應(yīng)的軟件解壓解殼

如果用PEID檢測是VB、VC等軟件制作基本上不用對文件解壓解殼就可以分析了，如果用PEID檢測有壓縮有殼，則需要用相應(yīng)的軟件進(jìn)行解壓解殼。比如檢測有RARSFX的字樣用右鍵winrar軟件即可解開（霏凡阿青）；有NullsoftPiMPSFX的字樣用右鍵7Z軟件解開；PE區(qū)段為CODE用innounp解開，其它的如果檢測出有UPX/ASPACK/北斗等殼，用專用或者通用脫殼機(jī)解開。關(guān)于軟件的解包、解壓、解殼問題以后會給大家詳細(xì)介紹，大家別急。四、使用記事本簡單分析文件

這節(jié)課我們就用綠色下載站/里提供的攝像頭錄像精靈V3.0軟件為例子，使用記事本檢測分析一下這個軟件（霏凡阿青）。大家估計很奇怪，一個小小的記事本就能分析木馬病毒，這可能嗎？我告訴你完全可能，看下面的講解。

1、下載攝像頭錄像精靈綠色版軟件解壓

攝像頭錄像精靈3.0綠色版

軟件大?。?02KB

下載地址：/soft/15238.html

下載后用winrar將壓縮包解壓到任意文件夾中

2、檢測脫殼

對其中的exe文件（主執(zhí)行程序）VideoRecord.exe點擊右鍵（千萬不要雙擊運(yùn)行這個文件，運(yùn)行造成的一切后果學(xué)員自己負(fù)責(zé)）——PEID——檢測出該文件是用ASPack2.12加殼軟件制作——用通用脫殼機(jī)GUnPacker脫殼（軟件加馬分析的FTP里就有，不知道FTP地址的學(xué)員到置頂報名帖子看主題帖我的帖子里就有FTP地址），啟動GUnPacker后，將要檢測的文件直接用鼠標(biāo)拉到GUnPacker界面上（霏凡阿青），然后直接點擊通用脫殼機(jī)的unpack按鍵，脫殼后獲得VideoRecord.exe.GUnPacker.dump脫殼文件。

3、記事本打開分析

直接在VideoRecord.exe.GUnPacker.dump脫殼文件用右鍵點擊——選擇記事本打開，記事本打開后看到一大堆亂碼？不用管它，有點耐心繼續(xù)往下看

看到了什么？哈哈~HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main這不就是第3講里我講解的修改用戶主頁的注冊表鍵值嘛（霏凡阿青），可以肯定只要這個軟件運(yùn)行，它就會自動將你的主頁修改成http://www.haoda123.com（從后面的資料可以看出軟件作者并非haoda123網(wǎng)站的人，而是軟件作者在做haoda123網(wǎng)站的廣告）。同時我們還可以在這修改主頁下面發(fā)現(xiàn)（霏凡阿青），這個軟件配置是放在注冊表的HKEY_CURRENT_USER\Software\VideoRecord下的，RegUser表示注冊用戶名，RegNo存儲注冊碼。很方便就分析出來這個軟件有問題，很簡單是吧？當(dāng)然。

IE起始頁的修改

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main右半部分窗口中的StartPage就是IE主頁地址了

我們還可以繼續(xù)向下看，我們會看到軟件作者的聯(lián)系郵箱mailto:tjywmax@，mailto:tjywmax@163.com，繼續(xù)向下看，看到下面是什么？下載http:///winvbsa.exe放在C盤根目錄C:\wimynec.exe，這應(yīng)該不是個正?，F(xiàn)象，具有木馬的特征，因為這講主要分析攝像頭錄像精靈這個軟件的行為，所以在這里就不分析winvbsa.exe了，有一定水平的學(xué)員可以去試一試（霏凡阿青），不過提醒一下去測試它時請一定在虛擬機(jī)中進(jìn)行，否則可能出現(xiàn)嚴(yán)重后果。我簡單分析了一下有修改用戶搜索頁、添加注冊表鍵值等行為。

這一講我們在分析攝像頭錄像精靈3.0綠色版軟件時只使用了一些簡單的方法，不用安裝運(yùn)行軟件，使用記事本就然這個軟件基本顯形。當(dāng)然對VideoRecord.exe脫殼文件記事本再往下看，可以