Winter

Solstice

点击蓝字 关注我们

前言

大部分时候，样本分析不需要对样本进行深入分析，只要判断样本黑白、进行归类并提取特征即可。

工具介绍

Total Commander是一个功能全面的文件管理工具。Total Commander能够总览计算机中的所有文件，并可对这些文件统一管理。

主界面中有两个窗格，便于文件的复制等操作，使用Tab键可实现两个窗格之间的切换。界面下方还有一些快捷键的说明。比如F3是查看文件，F5是复制文件，F7是创建目录等。

查看文件使用hiew，类似winhex的工具。

选项处设置hiew或者winhex，设置为绝对路径。

设置完毕以后，我们就可以使用F3直接查看样本了。

通过回车键进行切换，比如切换到十六进制模式或者反汇编模式等

样本分析

1powershell隐藏执行

F3

回车

通过代码可清晰看出，通过powershell程序执行，hideen隐藏执行，通过vps下载到临时目录，并修改后缀名，然后执行。正常程序不会执行这些迷惑性操作，应该是恶意程序，我们发现的时候，应对该程序回连地址以及下载地址，文件进行拉黑。

样本归类，下载类型，powershell执行，家族名称，编号。

例如 download/powershell/abc/a

2 js下载文件

回车方便分析

Var等等确认为js脚本

Shell.Application 执行命令

String.format()字符串常规类型格式化

通过windows bitsadmin下载命令下载到startapp目录下并执行。

3 bat文件

Echo off 判断为bat文件，文件乱码，判断为恶意文件。

4 重定向（不能进行访问谷歌和bing）

5vbs脚本

通过dim开头确定为vbs脚本，然后乱码加密确认为恶意文件。