一个带简单密码的病毒分析

来自：信安之路（微信号：xazlsec）作者：陈十一（信安之路病毒分析小组成员）病毒文件基本信息文件名：lab09-01.exeMD5：B94AF4A4D4AF6EAC81FC135ABDA1C40CVT报毒情况：是否加壳：从上图可以看出它并没有加壳。基本静态分析、动态分析1、使用 strings 查看程序的字符串 分析有用的字符串，大致猜测该病毒的功能，此病毒有请求域名服务器、注册服务、修改字符串、调用 cmd 命令行执行程序等功能。2、分析导入表a:导入的 DLLb:分析 dll 中的导入函数分析病毒功能1） ADVAPI32.DLL可以看出此病毒对注册表、服务进行操作2） SHELL32.DLL执行指定的文件3） WS2_32.DLL虽然通过序号导出，但是 Dependency Walker 下面也给出了该dll的序号对应的函数名，进行网络的操作3、通过Process Monitor与Process Explorer ………………………………