Windows样本高级静态分析教学文档

1. 样本分析目标

鉴定黑白：确定样本是恶意文件还是正常文件
详细静态分析：基于基础静态分析结果，深入分析样本行为

2. 分析原理

使用IDA Pro工具：

阅读反汇编代码
分析伪代码（F5功能）
通过API调用和字符串分析样本行为

3. 样本基本信息

文件名：Lab05-01.dll
检测结果：VT检测58/68检出率，判定为黑样本
类型：后门程序
时间戳：Mon Jun 09 20:49:29 2008
文件类型：32位GUI型DLL文件
壳特征：未加壳

4. 基础静态分析发现

4.1 主要恶意行为

凭证窃取：
- 监控登录窗口，记录登录用户名密码
- 相关API：OpenDesktopA、SetThreadDesktop
- 字符串表中有"Winlogon"
文件系统操作：
- 枚举盘符：GetLogicalDrives、GetDriveTypeA
- 文件遍历、复制、删除：FindFirstFileA、FindNextFileA、CopyFileA、MoveFileExA、DeleteFileA、WriteFile
系统信息收集：
- 获取计算机信息：GetVersionExA、GetComputerNameA
- 获取设备信息：访问注册表路径HARDWARE\DEVICEMAP\VIDEO
服务操作：
- 创建服务：CreateServiceA
- 服务控制：RegisterServiceCtrlHandlerA、StartServiceA
进程注入：
- CreateToolhelp32Snapshot、Process32First、Process32Next
- VirtualAllocEx、WriteProcessMemory、CreateRemoteThread

网络通信：

Socket操作：recv、send、connect、ntohs、htons

HTTP相关字符串：

HTTP/1.1
Content-Length:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1)
GET HTTP://

命令执行：

WinExec、Sleep

命令参数：

-warn
-erro
-stop
-shutdown
-reboot
attrib -a -r -s -h "%s"
rundll32.exe %s,StartEXS %s:%s

注册表操作：
- 设置IE浏览器路径：SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
- 服务配置：SYSTEM\CurrentControlSet\Services\
反虚拟机检测：
- 字符串："Found Virtual Machine,Install Cancel."
衍生文件：
- .\vmselfdel.bat（自删除脚本）

5. 高级静态分析过程

5.1 入口点分析

入口位置：DllMain
使用IDA的F5功能查看伪代码
样本通过rundll32.exe启动时会从DllMain开始执行
观察到创建多条线程的操作

5.2 关键API分析

服务相关函数：
- 跟踪RegisterServiceCtrlHandlerA
- 使用交叉引用和F5功能分析服务打开行为
网络行为：
- 根据字符串表中的网络相关字符串
- 结合socket连接行为分析
- 确认是后门程序，通过HTTP请求获取指令

5.3 导出表分析

根据导出符号初步判断功能：
- 安装/卸载服务
- 其他恶意行为
跟踪InstallSA导出函数发现反虚拟机行为

6. 分析技巧总结

API调用分析：
- 重点关注系统敏感API
- 了解Windows API的功能和常见恶意用途
字符串分析：
- 提取所有字符串
- 分析URL、注册表路径、命令等关键字符串
交叉引用：
- 通过关键API/字符串的交叉引用追踪代码流程
- 理解功能模块之间的关系
伪代码分析：
- 善用IDA的F5功能生成伪代码
- 伪代码比汇编更易理解程序逻辑
导出函数分析：
- 分析DLL的导出函数
- 理解模块的对外接口和功能

7. 恶意行为总结

该样本是一个功能完备的后门程序，具有：

持久化能力（服务安装）
信息收集能力（凭证窃取、系统信息）
文件操作能力
网络通信能力
反检测能力（反虚拟机）
自删除能力

8. 扩展学习建议

深入学习Windows API的恶意使用场景
熟悉常见恶意软件行为模式
练习更多样本分析，积累经验
了解现代恶意软件的混淆和反分析技术

Windows样本高级静态分析教学文档 1. 样本分析目标鉴定黑白：确定样本是恶意文件还是正常文件详细静态分析：基于基础静态分析结果，深入分析样本行为 2. 分析原理使用IDA Pro工具：阅读反汇编代码分析伪代码（F5功能）通过API调用和字符串分析样本行为 3. 样本基本信息文件名：Lab05-01.dll 检测结果：VT检测58/68检出率，判定为黑样本类型：后门程序时间戳：Mon Jun 09 20:49:29 2008 文件类型：32位GUI型DLL文件壳特征：未加壳 4. 基础静态分析发现 4.1 主要恶意行为凭证窃取：监控登录窗口，记录登录用户名密码相关API： OpenDesktopA 、 SetThreadDesktop 字符串表中有"Winlogon" 文件系统操作：枚举盘符： GetLogicalDrives 、 GetDriveTypeA 文件遍历、复制、删除： FindFirstFileA 、 FindNextFileA 、 CopyFileA 、 MoveFileExA 、 DeleteFileA 、 WriteFile 系统信息收集：获取计算机信息： GetVersionExA 、 GetComputerNameA 获取设备信息：访问注册表路径 HARDWARE\DEVICEMAP\VIDEO 服务操作：创建服务： CreateServiceA 服务控制： RegisterServiceCtrlHandlerA 、 StartServiceA 进程注入： CreateToolhelp32Snapshot 、 Process32First 、 Process32Next VirtualAllocEx 、 WriteProcessMemory 、 CreateRemoteThread 网络通信： Socket操作： recv 、 send 、 connect 、 ntohs 、 htons HTTP相关字符串：命令执行： WinExec 、 Sleep 命令参数：注册表操作：设置IE浏览器路径： SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE 服务配置： SYSTEM\CurrentControlSet\Services\ 反虚拟机检测：字符串："Found Virtual Machine,Install Cancel." 衍生文件： .\vmselfdel.bat （自删除脚本） 5. 高级静态分析过程 5.1 入口点分析入口位置： DllMain 使用IDA的F5功能查看伪代码样本通过 rundll32.exe 启动时会从DllMain开始执行观察到创建多条线程的操作 5.2 关键API分析服务相关函数：跟踪 RegisterServiceCtrlHandlerA 使用交叉引用和F5功能分析服务打开行为网络行为：根据字符串表中的网络相关字符串结合socket连接行为分析确认是后门程序，通过HTTP请求获取指令 5.3 导出表分析根据导出符号初步判断功能：安装/卸载服务其他恶意行为跟踪 InstallSA 导出函数发现反虚拟机行为 6. 分析技巧总结 API调用分析：重点关注系统敏感API 了解Windows API的功能和常见恶意用途字符串分析：提取所有字符串分析URL、注册表路径、命令等关键字符串交叉引用：通过关键API/字符串的交叉引用追踪代码流程理解功能模块之间的关系伪代码分析：善用IDA的F5功能生成伪代码伪代码比汇编更易理解程序逻辑导出函数分析：分析DLL的导出函数理解模块的对外接口和功能 7. 恶意行为总结该样本是一个功能完备的后门程序，具有：持久化能力（服务安装）信息收集能力（凭证窃取、系统信息）文件操作能力网络通信能力反检测能力（反虚拟机）自删除能力 8. 扩展学习建议深入学习Windows API的恶意使用场景熟悉常见恶意软件行为模式练习更多样本分析，积累经验了解现代恶意软件的混淆和反分析技术