作為一名沉迷于安全技術(shù)的小白，近期在對(duì)公司一臺(tái)Win7客戶主機(jī)進(jìn)行安全應(yīng)急響應(yīng)時(shí)，捕獲到一個(gè)64位dll形式的惡意程序，于是對(duì)其展開分析，收獲很多。下面想結(jié)合取證分析的過程，從取證經(jīng)過、動(dòng)靜態(tài)分析、破解加密等角度入手，與大家分享一些綜合性的惡意程序分析方法，相互啟發(fā)，相互學(xué)習(xí)。也許有些方法比較基礎(chǔ)，望各位大佬勿噴~
提供dll樣本以便大家茶余飯后分析著玩玩~
鏈接：https://pan.baidu.com/s/1y7ylCgRU2khpVaYhlIngsw 密碼：xut0
取證經(jīng)過
某用戶向SRC反映最近自己的郵箱賬號(hào)被盜，作為應(yīng)急中心的一員，我與團(tuán)隊(duì)成員一起對(duì)該用戶的電腦進(jìn)行了初步的取證和排查。
個(gè)人對(duì)個(gè)人主機(jī)排查的常用思路是：
可疑進(jìn)程
網(wǎng)絡(luò)流量
啟動(dòng)項(xiàng)
文件比對(duì)
但為了達(dá)到攻擊持久化的目的，惡意程序往往會(huì)對(duì)系統(tǒng)進(jìn)行駐留，因此對(duì)啟動(dòng)項(xiàng)進(jìn)行檢測(cè)排查是一個(gè)非常重要的環(huán)節(jié)。下面先推薦一款比較好用的常規(guī)自啟動(dòng)檢測(cè)工具。
autoruns.exe
是一款出色的啟動(dòng)項(xiàng)目管理工具，作用就是檢查開機(jī)自動(dòng)加載的所有程序，例如硬件驅(qū)動(dòng)程序，windows核心啟動(dòng)程序和應(yīng)用程序。它比windows自帶的msconfig.exe還要強(qiáng)大，通過它我們還可以看到一些在msconfig里面無法查看到的病毒和木馬以及惡意插件程序，還能夠詳細(xì)的把啟動(dòng)項(xiàng)目加載的所有程序列出來。比如logon、explorer還有IE上加載的dll跟其它組件。

但autotuns也不是萬能的，比如dll劫持等部分特殊的啟動(dòng)方式也無法檢測(cè)到。作為取證人員，平時(shí)應(yīng)該多多搜集和積累攻擊者使用的奇淫巧技。
由于個(gè)人在對(duì)dll劫持方式有較多的了解和實(shí)踐，同時(shí)結(jié)合文件比對(duì)，終于發(fā)現(xiàn)主機(jī)` C:\windows\` 目錄下多了一個(gè)叫midimap.dll的動(dòng)態(tài)庫，基本可以斷定為可疑程序，便對(duì)其展開分析。

動(dòng)靜態(tài)分析
首先我們對(duì)加載該dll的進(jìn)程做了監(jiān)控和分析。
dll劫持技術(shù)分析：
根據(jù)以往經(jīng)驗(yàn)，可以利用工具和相關(guān)命令迅速確定是哪些進(jìn)程加載了這個(gè)midimap.dll，推薦2種簡(jiǎn)便方法。
tasklist /m XXX.dll
以管理員權(quán)限運(yùn)行` tasklist /m` 命令，可以獲得所有進(jìn)程中加載的動(dòng)態(tài)鏈接庫，也可以具體到某一個(gè)dll對(duì)應(yīng)的進(jìn)程，見下圖。

Process Explorer
非常好用的一款增強(qiáng)型任務(wù)管理器軟件，讓使用者能了解看不到的在后臺(tái)執(zhí)行的處理程序，能顯示目前已經(jīng)載入哪些模塊，分別是正在被哪些程序使用著，還可顯示這些程序所調(diào)用的 DLL進(jìn)程，以及他們所打開的句柄。

綜上，可確定是explorer.exe進(jìn)程加載了midimap.dll。
同時(shí)，我們利用一臺(tái)干凈的win7虛擬機(jī)對(duì)explorer.exe加載midimap.dll的過程進(jìn)行了分析。使用Process Monitor軟件對(duì)explorer.exe進(jìn)程的行為進(jìn)行了監(jiān)控并設(shè)置了過濾條件，如下圖。

可發(fā)現(xiàn)正常情況下，explorer.exe應(yīng)加載位于` C:\windows\system32\` 目錄下的midimap.dll，但由于exe加載dll有一定的搜索順序，會(huì)首先在同目錄下查找對(duì)應(yīng)的dll文件。因此將惡意的midimap.dll文件放置在` C:\windows\ ` 目錄下即可實(shí)現(xiàn)dll劫持。
行為分析
除了對(duì)惡意程序進(jìn)行直接的靜態(tài)分析和動(dòng)態(tài)跟蹤調(diào)試，我們還常使用其他工具和手段對(duì)惡意程序的行為進(jìn)行監(jiān)控和分析，尤其在對(duì)一些較難逆向的復(fù)雜程序進(jìn)行分析時(shí)，結(jié)合行為監(jiān)控將大大提高分析效率。這里也簡(jiǎn)單介紹2款工具。
Procmon
Process Monitor是一款能夠?qū)崟r(shí)顯示文件系統(tǒng)、注冊(cè)表與進(jìn)程活動(dòng)的高級(jí)工具，是微軟推薦的一個(gè)系統(tǒng)監(jiān)視工具。增加了進(jìn)程ID、用戶、進(jìn)程可靠度、等等監(jiān)視項(xiàng)，可以記錄到文件中。它的強(qiáng)大功能足以讓其成為你系統(tǒng)中的核心組件以及病毒探測(cè)工具。

文件監(jiān)控軟件
利用文件監(jiān)控軟件往往能對(duì)惡意程序的讀寫的文件的路徑進(jìn)行快速定位。

在對(duì)該惡意動(dòng)態(tài)庫進(jìn)行分析時(shí)，我們使用Procmon工具對(duì)explorer.exe（加載惡意dll）進(jìn)程的行為進(jìn)行了監(jiān)控，在敲擊鍵盤和移動(dòng)鼠標(biāo)時(shí)，會(huì)伴有文件讀寫的行為，定位到` C:\Users\Windows\Appdata\Local\Microsoft\Windows\Caches\caches_version.db` 疑似為惡意程序產(chǎn)生的記錄文件。
使用010editor打開caches_version，疑似加密的記錄文件。

靜態(tài)分析
用IDA對(duì)正常路徑` C:\windows\system32\` 下的midimap.dll與在` C:\windows\` 下的惡意midimap.dll進(jìn)行對(duì)比�？梢姁阂鈊ll導(dǎo)出函數(shù)與正常dll的完全相同。