惡意代碼分析實(shí)驗(yàn)報(bào)告

小組成員：孫騫

胡蒙

惡意代碼分析實(shí)驗(yàn)報(bào)告基礎(chǔ)綜述實(shí)驗(yàn)過程心得體會(huì)基礎(chǔ)概述惡意代碼（maliciouscode）是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。惡意軟件的傳染的結(jié)果包括浪費(fèi)資源、破壞系統(tǒng)、破壞一致性，數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心?；A(chǔ)概述惡意代碼的分析方法可分為兩大類：靜態(tài)分析、動(dòng)態(tài)分析。靜態(tài)分析不運(yùn)行程序，通常先進(jìn)行反匯編；分析控制流與數(shù)據(jù)流確定功能；動(dòng)態(tài)分析：運(yùn)行時(shí)分析，對(duì)于混淆、自變化程序有免疫性，但是運(yùn)行哪段代碼需要慎重選擇。本次實(shí)驗(yàn)分析的名為RaDa的惡意代碼實(shí)驗(yàn)過程將rada.rar在虛擬機(jī)解壓，并運(yùn)行MD5對(duì)其進(jìn)行校驗(yàn)，得如下信息摘要：實(shí)驗(yàn)過程運(yùn)行wireshark、Filemon、Regmon，執(zhí)行RaDa.exe。我們發(fā)現(xiàn)RaDa.exe在C盤根目錄下生成了兩個(gè)子目錄：bin和tmp。實(shí)驗(yàn)過程Filemon監(jiān)控發(fā)現(xiàn)RaDa.exe文件激活，并將木馬文件釋放到了bin中。實(shí)驗(yàn)過程注冊(cè)表監(jiān)控發(fā)現(xiàn)rada.exe在注冊(cè)表的啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立了RaDa的鍵值，并將C:\RaDa\bin\RaDa.exe路徑添加了進(jìn)去。實(shí)驗(yàn)過程我們用ollydbg打開rada.exe后發(fā)現(xiàn)入口處的匯編代碼是典型的UPX加殼后程序的入口代碼。實(shí)驗(yàn)過程通過脫殼，并用IDA對(duì)脫殼后的二進(jìn)制文件進(jìn)行反匯編，發(fā)現(xiàn)了該程序的運(yùn)行參數(shù)實(shí)驗(yàn)過程我們運(yùn)行其中一個(gè)參數(shù)“--gui”實(shí)驗(yàn)過程得到了該程序的運(yùn)行界面實(shí)驗(yàn)過程我們利用IDA查看，發(fā)現(xiàn)RaDa.exe還使用cgiget和cgiput等參數(shù)，而且，通過FileMon和RegMon發(fā)現(xiàn)RaDa除讀取注冊(cè)表和文件信息外，沒有更多改寫文件和注冊(cè)表等行為。綜合判斷，該程序不大可能是病毒和蠕蟲，而更有可能是一個(gè)比較典型的主動(dòng)反彈型木馬或者后門程序。心得體會(huì)通過實(shí)驗(yàn)，我們初步學(xué)習(xí)到了一些簡