两个知识点逆向分析之病毒分析题目描述练习之二

先介绍两个知识点，后面的实验会用到。

1、7Zip

7-Zip 是一个开源软件。我们可以在任何计算机上使用 7-Zip，包括用于商业用途的计算机。7-Zip 适用于 7/Vista/XP/2008/2003/2000/NT/ME/98。并且有适用于 Mac OS X、Linux 和 Unix 平台的命令行版本。

7zip 使用起来非常方便。通过添加的右键菜单，可以尝试解压任意文件。7zip 支持多种文件格式，包括用于压缩和解压的 7z、XZ、BZIP2、GZIP、TAR、ZIP 和 WIM，包括：ARJ、CAB、CHM、CPIO、、DEB、DMG、FAT、HFS、ISO、LZH 、LZMA、MBR、MSI、NSIS、NTFS、RAR、RPM、、UDF、VHD、WIM、XAR、Z等格式。

在一些CTF逆向分析题目中，我们可以尝试使用7zip解压，可能会有意想不到的效果，可以大大加快我们的分析过程。

2、在线沙盒

互联网上有许多公共在线沙箱。使用这些沙盒提供的服务，我们可以很容易地观察到程序的详细行为报告，进而判断程序的大体内部逻辑。

在线沙箱通常用于粗略判断一个程序的行为是否安全。在逆向分析中，我们可以通过向沙盒程序提交文件来判断程序内部的大致逻辑。通过沙盒报告的分析，有时可以有效。加快我们的逆向工程过程。

本文涉及知识点的实战练习：CTF练习的病毒分析

主题描述：

一天，一个小学生拿了一个U盘去打印店打印文件，把U盘插到电脑上，发现机器死机了。为了杜绝此类事件的发生，辉煌打印店老板特地设置了霸王钥匙，一键备份。，然后老板把U盘备份给小王。小王想知道U盘里感染了什么。你能帮助他吗？

此 .img 文件在主机的 C:\8 目录中提供。请对文件进行逆向分析，找出通过测试的Flag。

我们先来看看这个病毒进行病毒特征分析

该病毒程序为IMG文件，不可执行，因此无法直接运行。我们用 7zip 打开这个文件，看看是否有任何附加内容。选择好.img文件后，点击鼠标右键，在弹出的右键菜单中选择“7Zip”-“打开”，如图：

打开文件后发现里面有两个文件没有找到md5文件，解压：

我们找到了一个 .inf 文件，其内容如下：

“你太厉害了，你一定会喜欢这款游戏的，不过据说这款游戏加了后门，找到后门操作的文件内容，取文件内容的16位md5值作为钥匙！祝你好运……”

提示游戏“如果你是男人，下100层.exe”已经加了后门，双击运行程序没有找到md5文件，发现弹出一个游戏，游戏还是很难玩，因为如下图所示：

继续分析，再次尝试使用7Zip打开文件“If you are a man, go down 100 .exe”，我们发现里面有三个文件，分别是1.vbs、1.@ >exe, 2.@ >exe，如下图所示：

拿到这些东西后怎么办。这可以使用我们之前谈到的在线沙箱。

运行已发布的 1.exe 文件，除了闪烁的黑框外，我们看不到任何其他行为。现在我们需要使用在线沙盒分析来加快我们的分析过程，看看1.exe有哪些行为特征。

打开在线沙盒分析平台，一般需要注册账号并激活，点击“分析文件”上传1.exe进行分析，稍等片刻即可看到分析报告。

从分析报告中我们可以看到1.exe释放了一个test.txt文件到当前目录，并且将test.txt的文件属性设置为和，所以在文件夹中我们看不到太多一个txt文件。

现在用记事本打开这个test.txt文件，文件内容为（1F），如图：

这是我们要找的文件，使用MD5计算工具计算这个字符串的16位MD5值，所以，这就是我们要找的flag，如图：

倒车真的很好玩，就是有点脱发。最近的实验已经让一座山比一座山高。不仅是实验的内容，还有很多工具可以学习。了解更好地实验和解决问题的工具！

文章来源:http://baijiahao.baidu.com/s?id=1693735852861892193&wfr=spider&for=pc

感谢您的来访，获取更多精彩文章请收藏本站。