首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  2. 问答
  3. 能简单说一下提取出来的这个文件怎么分析吗?
能简单说一下提取出来的这个文件怎么分析吗?
Student 2023-5-23 1168
源自: 3.2 去除恶意程序的混淆(上)

提问者:karis 2019-11-16

 

今天我分析了一下这个解析之后的样本,发现里面有日期星期,但是后面就不知道怎么分析了。您能简单说一下提取出来的这个文件怎么分析吗?还有这个样本的目的

收藏
1条回答
teacher 2023-5-23

这个样本还是蛮复杂的,所以我们可以由一些静态特征去辨别它的功能。比如在IDA的查看字符串功能里面,有vmware和virtualbox,那么它就是在检测虚拟机;有Mozilla、Maxthon等浏览器厂商,那么就是在检测浏览器,有私自安装对应流氓插件的可能性。还能找到cmd.exe /C ping 1.1.1.1 -n 1 -w 3000用于自身删除。还有\\.\PhysicalDrive%d用来获取磁盘信息等。都是比较可疑的操作,可以从字符入手来了解程序作了什么。

回复 已采纳
回答
回答问题,请先登录
恶意程序分析与高级对抗技术
  参与学习     221 人
  提问次数     6 个
恶意程序分析与高级对抗技术;恶意程序对抗、全面完整详细的分析恶意程序,了解恶意程序的行为
学习课程
我的问答 领取收益
0
我的提问
0
我的回答
0
学习收益
采纳榜
©2000 - 2024 看雪 / 沪ICP备2022023406号 / 沪公网安备 31011502006611号

邮件