image.png

說明加過殼了(果然如此,加的是UPX殼)

image.png

使用脫殼機直接脫殼:

image.png

脫完殼以后發現變得正常了:

image.png

發現其創建了一個服務:重點懷疑的對象：

image.png

發現其有聯網的操作：(表明這個程序開了后門!)

image.png

image.png

利用strings 命令:(拖進去的是脫完殼以后的情況)

image.png

image.png

總結：
通過第一篇和第二篇的學習，簡單總結一下病毒分析的一些前置步驟：
1.先將其拖至www.VirusTotal.com等相關網站檢測；
2.可以利用010Editor查看其PE完整結構；
3.PEID登場,將文件拖進去之后可以判斷其有沒有加殼，加混淆等
4.利用PEID查看其導入表，是否有敏感API，可以對其行為進行推測，常見的敏感API以及dll有：(會不斷更新)
ws2_32.dll(說明使用到了Socket套接字,)
kernel32.dll中的一些敏感API:sleep,createProcessA;CopyFileA;CreateServicesA,InternetOpen(InternetOpenurlA)(說明此程序連接后門了),CreateFileA,FindFirstFileA;FindNextFileA;

如果發現其沒有輸出表,則表明此文件十分可疑！?。?/p>

5.利用cmd中strings命令!