《竞学实训》报告
学 院 :网络空间安全学院
专 业 :
学 生 学 号 :
学 生 姓 名 :
二〇二三年七月
实验 Malware Analysis
一.实验目的
掌握Malware Analysis的方法。
二.实验内容
1. 样本准备
请编写一个可执行程序Demo.exe,该程序使用Windows API “WinExec”启动程序”calc.exe”
(附上主要代码)
- 静态分析
2.1请使用反汇编工具IDA分析Demo.exe执行calc.exe的代码。
(附上截图)
2.2 请先使用软件壳UPX对Demo.exe加壳,然后使用反汇编工具IDA分析加壳后Demo.exe的代码。本次的分析结果与2.1的分析结果相比,有什么不同?
(附上截图和文字说明)
可以看到,左侧的函数变少了。部分函数和符号可能丢失:因为 UPX 加壳会对文件进行一些修改,包括重定位等操作,所以在反编译时可能会导致部分函数和符号丢失或无法正确还原。
- 动态分析
3.1将加壳后的Demo.exe上传到在线cape sandbox,cape sandbox是否能监控到Demo.exe的“WinExec”执行?
(附上截图)
3.2 在Ubuntu系统上安装本地的cape sandbox, 安装方法参考官网或百度的帖子。
(请描述安装过程遇到哪些问题?如何解决的?)
chmod+x ,给.sh文件添加执行权限.
3.3 使用本地的cape sandbox重复3.1的实验,本地的cape sandbox能否监控到Demo.exe的WinExec行为?
(附上截图)
3.4 阅读cape sandbox源码,cape sandbox的进程(process)监控模块,共监控了哪些API?
3.5 修改cape sandbox源码,使得它的进程(process)监控功能只监控一个API“WinExec”,不再监控其它API。
提示:Step1.下载cape sandbox的组件capemon的代码到本地。
Step2参考官方文档“How to add hooks to capemon”修改capemon源码;编译生成新的capemon.dll,。
Step3: 参考文档“How to compile capemon”用新的capemon.dll替换掉原capemon.dll。
(请附上修改的代码+注释)
三.实验总结
(本实验有关的一些独立思考)