利用ZeroWine进行恶意软件行为分析

核心提示： 关于字符串报告Linux命令“strings”的输出，为了便于了解恶意软件，利用ZeroWine进行恶意软件行为分析(3)，有时候您可以探索一些字符串、URL等等，以下是一个例子(MyTob)：图4关于文件头报告这个报告展示了使用PEIdSignatures的特征码

关于字符串报告

Linux命令“strings”的输出。为了便于了解恶意软件，有时候您可以探索一些字符串、URL等等。以下是一个例子(MyTob)：

图4

关于文件头报告

这个报告展示了使用PEIdSignatures的特征码找出的用于给该程序加壳的工具（如果有的话），以及利用开源的程序库PEFile对给定PE程序分析得到的一份详尽输出。生成的报告类似于下图：

图5

在本例中，头部似乎是遭到了破坏，这说明恶意软件试图给反汇编制造困难。

关于特征码报告

这个是当恶意软件运行后，由Zero Wine生成的最有趣的报告 这个报告展示了最令人感兴趣的API调用和值。下面的例子很容易理解：

图6

“Signature”报告告诉我们，该恶意软件创建了互斥锁“H-E-L-L-B-O-T”(进程标识符0009)，并且将自身复制到 c:windowssystem32msmgrxp.exe，然后，执行了这个文件(process 0018)。恶意软件的这个副本将检查互斥锁“H-E-L-L-B-O-T”，如果该互斥锁业已存在，则将该二进制文件拷贝到c:funny_pic.scr及其它地方。

有了上面的这些报告，编写一份简单的行为报告已经不成问题。