【第6講】軟件的簡(jiǎn)單分析【中級(jí)】

【第6講】軟件的簡(jiǎn)單分析【中級(jí)】前面幾講給大家介紹了計(jì)算機(jī)的一些基本知識(shí)，給大家詳細(xì)講解了與軟件加馬知識(shí)聯(lián)系緊密的文件、注冊(cè)表、端口等知識(shí)，上一講讓大家安裝了虛擬機(jī)和備份了系統(tǒng)，所有這些都是為以后講解軟件加馬分析打基礎(chǔ)的，這一講我們將拿網(wǎng)絡(luò)上真實(shí)的軟件給大家講解分析（霏凡阿青），當(dāng)然使用的是最初級(jí)簡(jiǎn)單的方法，希望大家認(rèn)真學(xué)習(xí)這一講內(nèi)容，學(xué)會(huì)這種方法的思路、步驟，并自己從網(wǎng)上找一些這樣的軟件自己分析測(cè)試一下，以便提高自己的經(jīng)驗(yàn)和水平。

當(dāng)我們拿到一個(gè)軟件或者文件如何簡(jiǎn)單知道它是否含有木馬病毒或者可疑行為？

一、提前安裝虛擬機(jī)或者給目前系統(tǒng)做一個(gè)ghost系統(tǒng)備份

我們強(qiáng)烈要求想學(xué)習(xí)這節(jié)課內(nèi)容或者想深入學(xué)習(xí)加馬分析的學(xué)員先安裝虛擬機(jī)，實(shí)在安裝不了的那也需要用ghost軟件作個(gè)系統(tǒng)備份，以防止意外事情發(fā)生，因?yàn)槲覀儾幌氪蠹以跓o(wú)意中運(yùn)行了這些程序，造成學(xué)員們不必要的損失（霏凡阿青）。安裝虛擬機(jī)軟件請(qǐng)到置頂?shù)能浖玉R分析培訓(xùn)工具帖子中尋找下載，同時(shí)參照上一講內(nèi)容進(jìn)行安裝、使用。

【第5講】安裝虛擬機(jī)并備份系統(tǒng)【基礎(chǔ)】

/read.php?tid=1667181

虛擬機(jī)可以在你的windows里建立一個(gè)（多個(gè)）虛擬的電腦，你可以象使用普通pc那樣給他安裝系統(tǒng)，安裝軟件，添加“硬盤（虛擬）”可以完全利用既有的硬件配置。在虛擬PC里的任何變動(dòng)不會(huì)影響現(xiàn)有的系統(tǒng)。這樣可以有效的保護(hù)我們的正常系統(tǒng)在分析木馬病毒時(shí)不受這些有害文件的損害（霏凡阿青），造成不必要的麻煩。如果不是在虛擬機(jī)系統(tǒng)或者沒(méi)對(duì)正常系統(tǒng)做過(guò)備份而進(jìn)行軟件加馬培訓(xùn)學(xué)習(xí)，造成的一切損失和影響，我們概不負(fù)責(zé)，由學(xué)員自己承擔(dān)一切后果。

二、檢查文件的制作、加殼、壓縮類型

首先簡(jiǎn)單介紹一下殼，具體加殼脫殼方面的知識(shí)由制殼高手海風(fēng)月影詳細(xì)給大家講解（霏凡阿青）。借用風(fēng)飄雪的說(shuō)法：殼就是作者編好軟件后，編譯成exe可執(zhí)行文件1.有一些版權(quán)信息需要保護(hù)起來(lái)，不想讓別人隨便改動(dòng)，如作者的姓名、公司等2.需要把程序搞的小一點(diǎn)，從而方便使用，于是需要用到一些軟件，他們能將exe可執(zhí)行文件壓縮，實(shí)現(xiàn)上述兩個(gè)功能，這些軟件稱為加殼軟件。它不同于一般的winzip、winrar、7Z等壓縮軟件。加殼軟件是壓縮exe可執(zhí)行文件的，壓縮后的文件可以直接運(yùn)行。最常見(jiàn)的加殼軟件ASPACK、acpr、aspr、UPX、***、北斗、圍護(hù)等等。

文件的制作類型是指原始文件是用什么高級(jí)語(yǔ)言或者軟件制作而成。一般文件的制作、加殼、壓縮類型直接用我們第3講講解的PEID軟件就可以檢測(cè)出來(lái)（霏凡阿青），比如如果用VB語(yǔ)言編寫(xiě)的文件，檢測(cè)顯示就是MicrosoftVisualBasic；Delphi語(yǔ)言編寫(xiě)的文件，檢測(cè)顯示就是BorlandDelphi；VC編寫(xiě)的顯示就是MicrosoftVisualC++等等。

這里需要大家記住幾個(gè)制作壓縮軟件檢測(cè)標(biāo)志：

1、如果用winrar自解壓做出的exe文件，用PEID檢測(cè)一般EP區(qū)段為UPX，檢測(cè)出的結(jié)果最后會(huì)有RARSFX的字樣（霏凡阿青），熟悉winrar加壓解壓的學(xué)員一定能看出SFX就是壓縮件的自解壓模版。

2、如果用upx壓縮的exe文件，用PEID檢測(cè)一般EP區(qū)段為text，檢測(cè)出的結(jié)果有UPX的字樣。

3、如果用innosetup打包軟件做出的exe文件，用PEID檢測(cè)一般EP區(qū)段為CODE，檢測(cè)出的結(jié)果會(huì)有Inno或者BorlandDelphi的字樣，熟悉innosetup打包軟件的學(xué)員一定能看出CODE就是inno打包時(shí)經(jīng)常用到的Pascal腳本段。

4、如果用NSIS打包軟件做出的exe文件，用PEID檢測(cè)一般EP區(qū)段為text，檢測(cè)出的結(jié)果最后會(huì)有NullsoftPiMPSFX的字樣。

三、用相應(yīng)的軟件解壓解殼

如果用PEID檢測(cè)是VB、VC等軟件制作基本上不用對(duì)文件解壓解殼就可以分析了，如果用PEID檢測(cè)有壓縮有殼，則需要用相應(yīng)的軟件進(jìn)行解壓解殼。比如檢測(cè)有RARSFX的字樣用右鍵winrar軟件即可解開(kāi)（霏凡阿青）；有NullsoftPiMPSFX的字樣用右鍵7Z軟件解開(kāi)；PE區(qū)段為CODE用innounp解開(kāi)，其它的如果檢測(cè)出有UPX/ASPACK/北斗等殼，用專用或者通用脫殼機(jī)解開(kāi)。關(guān)于軟件的解包、解壓、解殼問(wèn)題以后會(huì)給大家詳細(xì)介紹，大家別急。四、使用記事本簡(jiǎn)單分析文件

這節(jié)課我們就用綠色下載站/里提供的攝像頭錄像精靈V3.0軟件為例子，使用記事本檢測(cè)分析一下這個(gè)軟件（霏凡阿青）。大家估計(jì)很奇怪，一個(gè)小小的記事本就能分析木馬病毒，這可能嗎？我告訴你完全可能，看下面的講解。

1、下載攝像頭錄像精靈綠色版軟件解壓

攝像頭錄像精靈3.0綠色版

軟件大?。?02KB

下載地址：/soft/15238.html

下載后用winrar將壓縮包解壓到任意文件夾中

2、檢測(cè)脫殼

對(duì)其中的exe文件（主執(zhí)行程序）VideoRecord.exe點(diǎn)擊右鍵（千萬(wàn)不要雙擊運(yùn)行這個(gè)文件，運(yùn)行造成的一切后果學(xué)員自己負(fù)責(zé)）——PEID——檢測(cè)出該文件是用ASPack2.12加殼軟件制作——用通用脫殼機(jī)GUnPacker脫殼（軟件加馬分析的FTP里就有，不知道FTP地址的學(xué)員到置頂報(bào)名帖子看主題帖我的帖子里就有FTP地址），啟動(dòng)GUnPacker后，將要檢測(cè)的文件直接用鼠標(biāo)拉到GUnPacker界面上（霏凡阿青），然后直接點(diǎn)擊通用脫殼機(jī)的unpack按鍵，脫殼后獲得VideoRecord.exe.GUnPacker.dump脫殼文件。

3、記事本打開(kāi)分析

直接在VideoRecord.exe.GUnPacker.dump脫殼文件用右鍵點(diǎn)擊——選擇記事本打開(kāi)，記事本打開(kāi)后看到一大堆亂碼？不用管它，有點(diǎn)耐心繼續(xù)往下看

看到了什么？哈哈~HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main這不就是第3講里我講解的修改用戶主頁(yè)的注冊(cè)表鍵值嘛（霏凡阿青），可以肯定只要這個(gè)軟件運(yùn)行，它就會(huì)自動(dòng)將你的主頁(yè)修改成http://www.haoda123.com（從后面的資料可以看出軟件作者并非haoda123網(wǎng)站的人，而是軟件作者在做haoda123網(wǎng)站的廣告）。同時(shí)我們還可以在這修改主頁(yè)下面發(fā)現(xiàn)（霏凡阿青），這個(gè)軟件配置是放在注冊(cè)表的HKEY_CURRENT_USER\Software\VideoRecord下的，RegUser表示注冊(cè)用戶名，RegNo存儲(chǔ)注冊(cè)碼。很方便就分析出來(lái)這個(gè)軟件有問(wèn)題，很簡(jiǎn)單是吧？當(dāng)然。

IE起始頁(yè)的修改

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main右半部分窗口中的StartPage就是IE主頁(yè)地址了

我們還可以繼續(xù)向下看，我們會(huì)看到軟件作者的聯(lián)系郵箱mailto:tjywmax@，mailto:tjywmax@163.com，繼續(xù)向下看，看到下面是什么？下載http:///winvbsa.exe放在C盤根目錄C:\wimynec.exe，這應(yīng)該不是個(gè)正?，F(xiàn)象，具有木馬的特征，因?yàn)檫@講主要分析攝像頭錄像精靈這個(gè)軟件的行為，所以在這里就不分析winvbsa.exe了，有一定水平的學(xué)員可以去試一試（霏凡阿青），不過(guò)提醒一下去測(cè)試它時(shí)請(qǐng)一定在虛擬機(jī)中進(jìn)行，否則可能出現(xiàn)嚴(yán)重后果。我簡(jiǎn)單分析了一下有修改用戶搜索頁(yè)、添加注冊(cè)表鍵值等行為。

這一講我們?cè)诜治鰯z像頭錄像精靈3.0綠色版軟件時(shí)只使用了一些簡(jiǎn)單的方法，不用安裝運(yùn)行軟件，使用記事本就然這個(gè)軟件基本顯形。當(dāng)然對(duì)VideoRecord.exe脫殼文件記事本再往下看，可以