取證環境用的是火眼Windows攻擊工具集環境 該公司發佈瞭一個包含超過140個開源Windows工具的大禮包,紅隊滲透測試員和藍隊防禦人員均擁有瞭頂級偵察與漏洞利用程序集。該工具集名為“曼迪安特完全攻擊虛擬機(CommandoVM)”,為安全研究人員執行攻擊操作準備瞭即時可用的Windows環境
在這裡插入圖片描述0a2cad31388acb8c36a44d1b4de36b1b在這裡插入圖片描述
此次分析的惡意軟件為
在這裡插入圖片描述
首先用第三方網站對惡意程序進行分析,這裡我使用VirusTotal,http://VirusTotal.com是一個免費的病毒、蠕蟲、木馬和各種惡意軟件分析服務,可以針對可疑文件和網址進行快速檢測,最初由Hispasec維護。它與傳統殺毒軟件的不同之處是它通過多種防毒引擎掃描文件。使用多種反病毒引擎可以令使用者們通過各防毒引擎的偵測結果,判斷上傳的檔案是否為惡意軟件
http://www.virustotal.com/gui/home/upload