靜態分析流程

這篇的內容會聚焦步驟4

4. String Extraction 提取字串

這裡我是去載Windows的工具-Strings
且配合PEstudio來查看

首先看到蠻多API跟DLL，但這些我打算放到步驟5
再去利用PE bear做分析

可疑資訊

兩個ip
172.16.99.5
192.168.56.20

網域
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

檔案路徑的字串
路徑 \qeriuwjhrf

執行檔，猜測執行病毒後會執行這些exe
mssecsvc.exe
tasksche.exe
taskdl.exe
taskse.exe
diskpart.exe

原本程式名稱(從上一篇在Virustotal分析得知)
1hdfrgui.exe

副檔名(沒有全部截圖)，猜測有這些附檔名的檔案會被加密

看起來是各國語言的檔案，猜測會依使用者的語言去使用不同的檔案

看起來是程式的應用程式資訊清單
檔案執行權限 : asInvoker，也就是以當前使用者的權限執行
檔案類型 : win32
依賴庫 : Microsoft.Windows.Common-Controls 6.0，跟圖形化介面有關
公鑰token : 6595b64144ccf1df，代表了Microsoft.Windows.Common-Controls庫的合法性，降低了惡意程式被偵測的風險
檔案所支援的系統 : windows 7~10、Vista，代表這些系統都有可能被攻擊

<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges>
        <requestedExecutionLevel level="asInvoker" />
      </requestedPrivileges>
    </security>
  </trustInfo>
  <dependency>
    <dependentAssembly>
        <assemblyIdentity
            type="win32"
            name="Microsoft.Windows.Common-Controls"
            version="6.0.0.0"
            processorArchitecture="*"
            publicKeyToken="6595b64144ccf1df"
            language="*"
        />
    </dependentAssembly>
  </dependency>
  <compatibility xmlns="urn:schemas-microsoft-com:compatibility.v1">
    <application> 
       <!-- Windows 10 --> 
       <supportedOS Id="{8e0f7a12-bfb3-4fe8-b9a5-48fd50a15a9a}"/>
       <!-- Windows 8.1 -->
       <supportedOS Id="{1f676c76-80e1-4239-95bb-83d0f6d0da78}"/>
       <!-- Windows Vista -->
       <supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"/> 
       <!-- Windows 7 -->
       <supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/>
       <!-- Windows 8 -->
       <supportedOS Id="{4a2f28e3-53b9-4441-ba9c-d69d4a4a6e38}"/>
    </application> 
  </compatibility>
</assembly>