【第6讲】软件的简单分析【中级】

【第6讲】软件的简单分析【中级】前面几讲给大家介绍了计算机的一些基本知识，给大家详细讲解了与软件加马知识联系紧密的文件、注册表、端口等知识，上一讲让大家安装了虚拟机和备份了系统，所有这些都是为以后讲解软件加马分析打基础的，这一讲我们将拿网络上真实的软件给大家讲解分析（霏凡阿青），当然使用的是最初级简单的方法，希望大家认真学习这一讲内容，学会这种方法的思路、步骤，并自己从网上找一些这样的软件自己分析测试一下，以便提高自己的经验和水平。

当我们拿到一个软件或者文件如何简单知道它是否含有木马病毒或者可疑行为？

一、提前安装虚拟机或者给目前系统做一个ghost系统备份

我们强烈要求想学习这节课内容或者想深入学习加马分析的学员先安装虚拟机，实在安装不了的那也需要用ghost软件作个系统备份，以防止意外事情发生，因为我们不想大家在无意中运行了这些程序，造成学员们不必要的损失（霏凡阿青）。安装虚拟机软件请到置顶的软件加马分析培训工具帖子中寻找下载，同时参照上一讲内容进行安装、使用。

【第5讲】安装虚拟机并备份系统【基础】

/read.php?tid=1667181

虚拟机可以在你的windows里建立一个（多个）虚拟的电脑，你可以象使用普通pc那样给他安装系统，安装软件，添加“硬盘（虚拟）”可以完全利用既有的硬件配置。在虚拟PC里的任何变动不会影响现有的系统。这样可以有效的保护我们的正常系统在分析木马病毒时不受这些有害文件的损害（霏凡阿青），造成不必要的麻烦。如果不是在虚拟机系统或者没对正常系统做过备份而进行软件加马培训学习，造成的一切损失和影响，我们概不负责，由学员自己承担一切后果。

二、检查文件的制作、加壳、压缩类型

首先简单介绍一下壳，具体加壳脱壳方面的知识由制壳高手海风月影详细给大家讲解（霏凡阿青）。借用风飘雪的说法：壳就是作者编好软件后，编译成exe可执行文件1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名、公司等2.需要把程序搞的小一点，从而方便使用，于是需要用到一些软件，他们能将exe可执行文件压缩，实现上述两个功能，这些软件称为加壳软件。它不同于一般的winzip、winrar、7Z等压缩软件。加壳软件是压缩exe可执行文件的，压缩后的文件可以直接运行。最常见的加壳软件ASPACK、acpr、aspr、UPX、***、北斗、围护等等。

文件的制作类型是指原始文件是用什么高级语言或者软件制作而成。一般文件的制作、加壳、压缩类型直接用我们第3讲讲解的PEID软件就可以检测出来（霏凡阿青），比如如果用VB语言编写的文件，检测显示就是MicrosoftVisualBasic；Delphi语言编写的文件，检测显示就是BorlandDelphi；VC编写的显示就是MicrosoftVisualC++等等。

这里需要大家记住几个制作压缩软件检测标志：

1、如果用winrar自解压做出的exe文件，用PEID检测一般EP区段为UPX，检测出的结果最后会有RARSFX的字样（霏凡阿青），熟悉winrar加压解压的学员一定能看出SFX就是压缩件的自解压模版。

2、如果用upx压缩的exe文件，用PEID检测一般EP区段为text，检测出的结果有UPX的字样。

3、如果用innosetup打包软件做出的exe文件，用PEID检测一般EP区段为CODE，检测出的结果会有Inno或者BorlandDelphi的字样，熟悉innosetup打包软件的学员一定能看出CODE就是inno打包时经常用到的Pascal脚本段。

4、如果用NSIS打包软件做出的exe文件，用PEID检测一般EP区段为text，检测出的结果最后会有NullsoftPiMPSFX的字样。

三、用相应的软件解压解壳

如果用PEID检测是VB、VC等软件制作基本上不用对文件解压解壳就可以分析了，如果用PEID检测有压缩有壳，则需要用相应的软件进行解压解壳。比如检测有RARSFX的字样用右键winrar软件即可解开（霏凡阿青）；有NullsoftPiMPSFX的字样用右键7Z软件解开；PE区段为CODE用innounp解开，其它的如果检测出有UPX/ASPACK/北斗等壳，用专用或者通用脱壳机解开。关于软件的解包、解压、解壳问题以后会给大家详细介绍，大家别急。四、使用记事本简单分析文件

这节课我们就用绿色下载站/里提供的摄像头录像精灵V3.0软件为例子，使用记事本检测分析一下这个软件（霏凡阿青）。大家估计很奇怪，一个小小的记事本就能分析木马病毒，这可能吗？我告诉你完全可能，看下面的讲解。

1、下载摄像头录像精灵绿色版软件解压

摄像头录像精灵3.0绿色版

软件大小：802KB

下载地址：/soft/15238.html

下载后用winrar将压缩包解压到任意文件夹中

2、检测脱壳

对其中的exe文件（主执行程序）VideoRecord.exe点击右键（千万不要双击运行这个文件，运行造成的一切后果学员自己负责）——PEID——检测出该文件是用ASPack2.12加壳软件制作——用通用脱壳机GUnPacker脱壳（软件加马分析的FTP里就有，不知道FTP地址的学员到置顶报名帖子看主题帖我的帖子里就有FTP地址），启动GUnPacker后，将要检测的文件直接用鼠标拉到GUnPacker界面上（霏凡阿青），然后直接点击通用脱壳机的unpack按键，脱壳后获得VideoRecord.exe.GUnPacker.dump脱壳文件。

3、记事本打开分析

直接在VideoRecord.exe.GUnPacker.dump脱壳文件用右键点击——选择记事本打开，记事本打开后看到一大堆乱码？不用管它，有点耐心继续往下看

看到了什么？哈哈~HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main这不就是第3讲里我讲解的修改用户主页的注册表键值嘛（霏凡阿青），可以肯定只要这个软件运行，它就会自动将你的主页修改成http://www.haoda123.com（从后面的资料可以看出软件作者并非haoda123网站的人，而是软件作者在做haoda123网站的广告）。同时我们还可以在这修改主页下面发现（霏凡阿青），这个软件配置是放在注册表的HKEY_CURRENT_USER\Software\VideoRecord下的，RegUser表示注册用户名，RegNo存储注册码。很方便就分析出来这个软件有问题，很简单是吧？当然。

IE起始页的修改

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main右半部分窗口中的StartPage就是IE主页地址了

我们还可以继续向下看，我们会看到软件作者的联系邮箱mailto:tjywmax@，mailto:tjywmax@163.com，继续向下看，看到下面是什么？下载http:///winvbsa.exe放在C盘根目录C:\wimynec.exe，这应该不是个正常现象，具有木马的特征，因为这讲主要分析摄像头录像精灵这个软件的行为，所以在这里就不分析winvbsa.exe了，有一定水平的学员可以去试一试（霏凡阿青），不过提醒一下去测试它时请一定在虚拟机中进行，否则可能出现严重后果。我简单分析了一下有修改用户搜索页、添加注册表键值等行为。

这一讲我们在分析摄像头录像精灵3.0绿色版软件时只使用了一些简单的方法，不用安装运行软件，使用记事本就然这个软件基本显形。当然对VideoRecord.exe脱壳文件记事本再往下看，可以