這兩天在分析一個(gè)office2003的一個(gè)惡意代碼樣本,先總結(jié)一下分析病毒行為的一些若干套路:(之前都沒有注意)
1.首先打開Word這個(gè)進(jìn)程

image.png

2.然后再開啟這個(gè)進(jìn)程的進(jìn)程樹:

image.png

image.png

image.png

然后就可以發(fā)現(xiàn)它的一系列行為:

image.png

image.png

然后就發(fā)現(xiàn)了它的惡意行為,發(fā)現(xiàn)其釋放了一個(gè)exe,why?
因?yàn)殚_啟進(jìn)程樹就相當(dāng)與下面只是監(jiān)控與這個(gè)進(jìn)程相關(guān)的一些父進(jìn)程與子進(jìn)程,而WORD其父進(jìn)程是一個(gè)PID為4的系統(tǒng)進(jìn)程,它不會(huì)隨便釋放文件,所以能夠判斷的出來這是惡意代碼文件所釋放出來的
其實(shí)一般分析病毒行為的套路是這樣的:

• 首先了利用OD將其掛起
• 再開啟這個(gè)進(jìn)程的進(jìn)程樹:
• 開啟監(jiān)控,并過濾掉相關(guān)行為動(dòng)作
• 在OD 里面執(zhí)行這個(gè)進(jìn)程,觀察其行為