如何解决当文件不是可执行文件时,如何在Windows沙箱环境中执行勒索软件
我有几个恶意软件存储库,但是我无法执行bin文件或Windows将它们分类时的文件。我包括了一些文件名,以便您可以看到我正在使用的文件名。我一直试图挂载一些没有运气的Bin文件。
Tank_3d.jar
b0ffb939b3df60f8561fadf2cbfa1733_WEXTRACT.EXE_
带有desktop.BIN的userinit.exe
为什么多余的文件带有可执行文件?
13ce4cd747e450a129d900e842315328和Windows说文件类型是文件吗?
我在网上搜索过,但您找不到能提供任何帮助的网站,原因很明显,但我找不到任何网站可以告诉您如何执行这些文件。我已将某些文件扩展名更改为.exe,其中某些将以这种方式执行。但是,其中许多仍然不会。在尝试进行动态分析之前,我已经对这些文件进行了静态分析。另外我也忘了补充说,我正在为一所大学进行这项研究
解决方法
这个问题对我来说还不是很清楚,但是据您的理解,您有一些文件(可能与某些恶意软件/勒索软件有关)不知道如何执行。 在开始执行恶意软件或任何可疑文件之前,您需要收集有关文件的尽可能多的信息。此步骤称为信息收集。所以这是您需要做的: (这些是可选步骤,可以根据您的经验进行更改)
-
计算文件的MD5哈希,然后在VirusTotal或Hybrid-Analysis中搜索MD5值,以检查这些引擎是否已经分析了此样本。 (或者您可以直接将样本上传到这些引擎,而无需计算MD5值)
-
在Google上搜索有关文件的任何信息(甚至可以搜索文件名本身)。除非您正在寻找某些变体或某些特定功能,否则您不想重新分析样本(如果有人已经为您完成)。即使在这种情况下,阅读其他相关的分析报告也可以帮助您更快地完成它。
-
使用任何工具获取文件的类型,以提取文件的魔术头(签名)。我会说使用Linux file command,但您也可以使用其他工具。
-
尝试在十六进制编辑器/显示软件中打开文件(如果搜索,可以找到很多文件),以查看文件中是否有有趣的东西。
-
使用Linux Strings或Windows Strings命令从文件中提取人类可读的字符串,以查看可以找到的内容。
-
执行上述所有步骤,您将了解如何处理文件。
-
使用Peid或Die(轻松检测)提取编程语言以及文件的可能的打包程序名称/熵。
-
最后,执行不同的文件格式:
-
如果是.jar文件:java -jar sample.jar
-
如果是.dll文件:请使用rundll32或OllyDBG。
-
如果您有.exe文件:只需运行它即可。
-
开始学习恶意软件分析的人们只是尝试执行文件或开始进行动态分析,但是在执行示例之前,需要知道这些步骤非常有帮助,因为大多数时候您将从信息中获得所需的信息收集和静态分析。
如果您能更好地解释问题,也许人们可以更好地帮助您!
编辑: 我将把这一部分添加到答案中,以涵盖评论。
为什么恶意软件文件夹中还有其他文件,例如带有bin文件的可执行文件?
这是一个简单的技巧,已经被恶意软件编写者使用了几年。例如,在一种情况下,恶意软件的主文件可以是可执行文件(.exe),但实际上根本没有危害!!!它所做的只是下载另一个文件(例如.dll文件),它是真正的恶意代码(您可以称其为有效负载)。但是,发送和接收.dll文件也很可疑,因此恶意软件作者使用其他文件扩展名或其他任何方式隐藏恶意内容(例如Emotet变体之一中的.bin文件甚至.png文件)。问题是您不能像这样执行这些文件!因为有时会有加密/编码。 您需要知道执行它们的过程,这只有在您对样本进行反向工程时才能知道。
例如: 13ce4cd747e450a129d900e842315328-> .DLL文件
这意味着您可以使用Ollydbg或任何调试器+ rundll32进行分析,但不能保证!它可能被加密或编码,只有父文件(例如.exe示例)才能对其进行解密/解码!
我现在对执行我拥有的恶意软件的内存分析感兴趣。但是我遇到的问题是如何执行我必须检查的许多勒索软件文件
我想说,使用Win10 VM +布谷鸟沙箱执行所有任务并将其转储以供进一步分析是很好的。这都是自动工作,可以很好地完成。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
