第一次恶意样本实战分析，会从lab01-01开始分析，会不定时进行更新，每一次分析都在此进行了记录，例题出自《恶意代码分析实战》Michael Sikorski Andrew Honig 著 诸葛健伟 张光凯 译

系统环境：windows x32 专业版

工具：die、Exeinfo PE、dependency walker、火绒剑

分析方式：静态分析

恶意代码类型：典型的后门

1、当然，最开始应该上传病毒样本到网站上，让多个反病毒引擎来进行扫描检测，这样就可以生成报告，提供了所有引擎对这个样本识别的情况。类似VirusTotal（83dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1$3i4@1p5H3i4@1t1%4i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1q4n7i4K6V1&6

2、如果没有那么就开始自己分析，首先对使用Die查看工具对程序编译时间进行查看发现两个文件程序编译时间不超过1分钟，由此可以推断出，这两个文件是出自同一个作者。

我们知道，这些文件是关联的，因为他们的编译时间与被发现的位置。这个.exe文件可能是用来使用或安装.dll文件的，因为.dll链接库无法运行自己。

3、使用Exeinfo PE攻击查看这两个文件并没有进行加壳，并且是使用VC6.0编写的


4、但是呢，发现这DLL文件中并没有导出的函数，这并不正常

5、通过dependency walker工具把两个不同文件的输入表中使用的函数全部拿出进行分析，这里把此函数和在火绒剑提取的字符串比较了一下，发现是相同的这里就不在截图了，可以去看从火绒剑中提取的字符串。dependency walker工具主要作用在于，当使用序号的时候，可以通过使用的序号找到对应的函数

[培训]科锐逆向工程师培训第53期2025年7月8日开班！