ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

EXP4

2022-05-15 23:33:06  阅读:188  来源: 互联网

标签:03 exe 操作系统 查看 svchost EXP4 Lab03


Lab3-3

1.查壳

经过PEiD分析,Lab03-03没有加壳

image-20220515200751556

2.Process Explore分析

操作系统:Microsoft Windows XP [Version 5.1.2600](中文版)

image-20220515214940548

操作系统:Microsoft Windows XP [Version 5.1.2600](英文版)

image-20220515214838371

中文版的操作系统对Process Explore的支持性好像不是很好,打开后会有计算机重启的现象。不同语言的操作系统打开查看运行同一个文件Lab03-03出现了截然不同的两种情况:支持中文的操作系统运行后的现象是创建了两个子进程(svchost.exe和conime.exe),支持中文的操作系统运行后的现象是仅创建了一个子进程(svchost.exe)到这里我也非常不清楚出现这种现象的原因是什么。

可以看到,svchost.exe和conime.exe的parent都是Lab03-03.exe

image-20220515221216662

image-20220515221246155

conime.exe是处理控制台输入法相关的一个程序,往往在运行cmd.exe之后会出现,就是运行cmd.exe之后用ctrl+shift切换输入法的功能,结束了该进程就无法切换了。允许用户使用标准键盘就能输入复杂的字符与符号

查看资料后我就弄清楚了出现上面两种不同现象的原因:在中文操作系统中内置了多种输入法可供用户切换,切换输入法时需要conime.exe配合。但是英文操作系统中没有多种输入法可供用户切换,所以系统内就没有conime.exe

中文操作系统

image-20220515220345508

英文操作系统

image-20220515220558547

Generic Host Process for Win32 Services即SVCHOST的全称,就是win32服务通用主机进程的意思,可以把它看作是一个“服务加载器”,用于将DLL 动态链接库形式的系统文件解析成系统服务。

进入到属性页面中,还能通过选择strings标签看到可执行文件的字符串列表,和其他进程产生的子进程相比,运行Lab03-03之后产生的子进程svchost.exe在选中“Image”和“Memory”进行两者内容对比可以发现有不同。

PID为1088的svchost.exe。选中“Image”和“Memory”进行两者内容对比发现两者相同

pic0515

PID为556的svchost.exe。选中“Image”和“Memory”进行两者内容对比发现两者不相同

pic0515-2

在做实验与其他同学进行讨论的过程中,其他同学告诉我:磁盘映像的字符串列表和内存映像的字符串列表不一样,说明运行了Lab03-03后对内存中的svchost.exe做出了修改。我也心存疑惑:能不能查看到修改后的svchost.exe,经过一番尝试过后无果。

OD中运行Lab03-03查看内存情况,红色位置为有修改的部分,可以看出有修改的部分Owner是ADVAPI32,ADVAPI32在下面的步骤有提到,是运行Lab03-03后有变动的地方。更多关于svchost.exe在内存中的信息就没有获取到了

image-20220515230756649

3.systracer分析

在程序运行前后各进行了一次快照(take snapshot),可以根据自己的情况选择快照目标,快照的对象越少,生成快照时间越短;反之,则花费时间更长。因为我是对刚刚创建的winxp虚拟机进行了快照,文件内容较少,所以生成快照很快

image-20220515202837306

注册表

点进第二个标签就能查看到注册表的修改信息,View mode选择“only differences”,

image-20220515202931464

1.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{75048700-EF1F-11D0-9888-006097DEACF9}\Count\(网友说是资源管理器中的历史记录)

2.HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\(文件夹访问,在运行lab03-03之前我打开了包含此PE文件的文件夹,所以这个注册表项会被修改)

3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\(貌似是加密,应该与分析目标无关)

4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\(自动更新相关)

5.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\

6.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum\

查看文件修改情况

打开file标签即可查看运行lab03-03前后的文件修改

image-20220515213607805

其中,路径c:\Documents and Settings\Administrator\桌面\exp\下的practicalmalwareanalysis.log就是记录击键的文件

打开practicalmalwareanalysis.log可以看到击键记录

image-20220515223930442

查看Application内容

打开Application标签即可查看运行lab03-03前后的修改情况

左边的选择框中选中svchost,右边展示栏就会展示出变动情况

image-20220515212216885

我这里做了一张截图,回到Process Explore对比与查看,进入strings发现svchost的image即磁盘映像的字符串列表中有一些dll出现在了上图中

image-20220515212744243

image-20220515212819192

由此可以推断,运行了lab03-03之后对系统里与svchost.exe关联的一些dll文件做出了修改

查看联网情况

列表为空,此程序没有与远端计算机相连接

image-20220515214119535

标签:03,exe,操作系统,查看,svchost,EXP4,Lab03
来源: https://www.cnblogs.com/a6666o/p/16275220.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有