记一次头铁的病毒样本分析过程

本文为看雪论坛精华文章看雪论坛作者ID：PlaneJun一样本运行效果：点击确定后就无任何反应。二静态分析1、程序信息MD5    fdd9fd0249d48d8c6d991741c67fcfebSHA-1    ff0181242825b5bb8cac1d4d17e8377352e3aa55SHA-256    6a9bdabc4599618513de5c963972929de9322c486e84e101e177c0868e7c5fb7File size    1.34 MB (1408512 bytes)其中较为引人注目的就是winnet.dll、shell32.dll、advapi32.dll，这三者分别是对网络，运行程序，注册表进行操作的动态库，说明程序存在运行外部程序和联网操作。字符串的话，通过Strings.exe查询后没发现任何敏感字符串，这里就不贴出来了。2、在线查毒3、进程行为监控：通过火绒的监控发现其对注册表进行了大量操作，不过并没什么影响。 且运行了一个名为CrashReporter.exe的程序。途中创建了一些文件 ………………………………