作為一名沉迷于安全技術(shù)的小白，近期在對公司一臺Win7客戶主機進行安全應(yīng)急響應(yīng)時，捕獲到一個64位dll形式的惡意程序，于是對其展開分析，收獲很多。下面想結(jié)合取證分析的過程，從取證經(jīng)過、動靜態(tài)分析、破解加密等角度入手，與大家分享一些綜合性的惡意程序分析方法，相互啟發(fā)，相互學(xué)習(xí)。也許有些方法比較基礎(chǔ)，望各位大佬勿噴~
提供dll樣本以便大家茶余飯后分析著玩玩~
鏈接：https://pan.baidu.com/s/1y7ylCgRU2khpVaYhlIngsw 密碼：xut0
取證經(jīng)過
某用戶向SRC反映最近自己的郵箱賬號被盜，作為應(yīng)急中心的一員，我與團隊成員一起對該用戶的電腦進行了初步的取證和排查。
個人對個人主機排查的常用思路是：
可疑進程
網(wǎng)絡(luò)流量
啟動項
文件比對
但為了達到攻擊持久化的目的，惡意程序往往會對系統(tǒng)進行駐留，因此對啟動項進行檢測排查是一個非常重要的環(huán)節(jié)。下面先推薦一款比較好用的常規(guī)自啟動檢測工具。
autoruns.exe
是一款出色的啟動項目管理工具，作用就是檢查開機自動加載的所有程序，例如硬件驅(qū)動程序，windows核心啟動程序和應(yīng)用程序。它比windows自帶的msconfig.exe還要強大，通過它我們還可以看到一些在msconfig里面無法查看到的病毒和木馬以及惡意插件程序，還能夠詳細的把啟動項目加載的所有程序列出來。比如logon、explorer還有IE上加載的dll跟其它組件。

但autotuns也不是萬能的，比如dll劫持等部分特殊的啟動方式也無法檢測到。作為取證人員，平時應(yīng)該多多搜集和積累攻擊者使用的奇淫巧技。
由于個人在對dll劫持方式有較多的了解和實踐，同時結(jié)合文件比對，終于發(fā)現(xiàn)主機` C:\windows\` 目錄下多了一個叫midimap.dll的動態(tài)庫，基本可以斷定為可疑程序，便對其展開分析。

動靜態(tài)分析
首先我們對加載該dll的進程做了監(jiān)控和分析。
dll劫持技術(shù)分析：
根據(jù)以往經(jīng)驗，可以利用工具和相關(guān)命令迅速確定是哪些進程加載了這個midimap.dll，推薦2種簡便方法。
tasklist /m XXX.dll
以管理員權(quán)限運行` tasklist /m` 命令，可以獲得所有進程中加載的動態(tài)鏈接庫，也可以具體到某一個dll對應(yīng)的進程，見下圖。

Process Explorer
非常好用的一款增強型任務(wù)管理器軟件，讓使用者能了解看不到的在后臺執(zhí)行的處理程序，能顯示目前已經(jīng)載入哪些模塊，分別是正在被哪些程序使用著，還可顯示這些程序所調(diào)用的 DLL進程，以及他們所打開的句柄。

綜上，可確定是explorer.exe進程加載了midimap.dll。
同時，我們利用一臺干凈的win7虛擬機對explorer.exe加載midimap.dll的過程進行了分析。使用Process Monitor軟件對explorer.exe進程的行為進行了監(jiān)控并設(shè)置了過濾條件，如下圖。

可發(fā)現(xiàn)正常情況下，explorer.exe應(yīng)加載位于` C:\windows\system32\` 目錄下的midimap.dll，但由于exe加載dll有一定的搜索順序，會首先在同目錄下查找對應(yīng)的dll文件。因此將惡意的midimap.dll文件放置在` C:\windows\ ` 目錄下即可實現(xiàn)dll劫持。
行為分析
除了對惡意程序進行直接的靜態(tài)分析和動態(tài)跟蹤調(diào)試，我們還常使用其他工具和手段對惡意程序的行為進行監(jiān)控和分析，尤其在對一些較難逆向的復(fù)雜程序進行分析時，結(jié)合行為監(jiān)控將大大提高分析效率。這里也簡單介紹2款工具。
Procmon
Process Monitor是一款能夠?qū)崟r顯示文件系統(tǒng)、注冊表與進程活動的高級工具，是微軟推薦的一個系統(tǒng)監(jiān)視工具。增加了進程ID、用戶、進程可靠度、等等監(jiān)視項，可以記錄到文件中。它的強大功能足以讓其成為你系統(tǒng)中的核心組件以及病毒探測工具。

文件監(jiān)控軟件
利用文件監(jiān)控軟件往往能對惡意程序的讀寫的文件的路徑進行快速定位。

在對該惡意動態(tài)庫進行分析時，我們使用Procmon工具對explorer.exe（加載惡意dll）進程的行為進行了監(jiān)控，在敲擊鍵盤和移動鼠標時，會伴有文件讀寫的行為，定位到` C:\Users\Windows\Appdata\Local\Microsoft\Windows\Caches\caches_version.db` 疑似為惡意程序產(chǎn)生的記錄文件。
使用010editor打開caches_version，疑似加密的記錄文件。

靜態(tài)分析
用IDA對正常路徑` C:\windows\system32\` 下的midimap.dll與在` C:\windows\` 下的惡意midimap.dll進行對比。可見惡意dll導(dǎo)出函數(shù)與正常dll的完全相同。