我有几个恶意软件存储库,但我无法获得要执行的bin文件或windows对其进行分类的文件。我已经包含了一些文件名,这样你就可以看到我在使用什么了。我一直在尝试挂载一些文件,这些文件都是Bin文件,但运气不佳。Tank_3d.jarb0ffb939b3df60f8561faf2cbfa1733_WEXTRACT.EXE_带有desktop.BIN的userinit.exe为什么额外的文件带有可执行文件?13ce4cd747e450a129d900e842315328和windows说文件类型是文件?如果你能提供任何帮助,我将不胜感激。我已经在网上搜索过,但由于明显的原因,我没有找到任何网站告诉你如何执行这些文件。我已经将一些文件扩展名更改为.exe,其中一些将以这种方式执行。然而,他们中的许多人仍然不会。在尝试进行动态分析之前,我已经对这些文件进行了静态分析。此外,我忘了补充一点,我正在为一所大学做这项研究,谢谢
这个问题我还不完全清楚,但正如我从你所说的,你有一些文件(可能与一些恶意软件/勒索软件有关),你不知道如何执行它们。在开始执行恶意软件或任何可疑文件之前,您需要收集尽可能多的文件信息。这一步骤称为信息收集。所以这就是你需要做的:(这些是可选步骤,可以根据您的经验进行更改)
-
计算文件的MD5哈希,然后在VirusTotal或Hybrid Analysis中搜索MD5值,以检查这些引擎是否已经分析了此样本。(或者您可以直接将样本上传到这些引擎,而无需计算MD5值)
-
在谷歌上搜索你所拥有的关于你的文件的任何信息(甚至你可以搜索文件名本身)。如果有人已经为你重新分析了样本,除非你正在寻找一些变体或特定功能,否则你不想重新分析样本。即使在这种情况下,阅读其他相关的分析报告也可以帮助您更快地完成。
-
使用任何工具提取文件的魔术头(签名)来获取文件的类型。我会说使用Linux文件命令,但您也可以使用其他工具。
-
试着在十六进制编辑器/显示软件中打开文件(如果搜索,你可以找到很多),看看文件中是否有什么有趣的东西。
-
使用Linux字符串或Windows字符串命令从文件中提取人类可读的字符串,以查看可以找到的内容。
-
完成上面提到的所有步骤后,您将知道应该如何处理该文件。
-
使用Peid或Die(轻松检测)提取程序语言和文件的可能打包器名称/熵。
-
最后,执行不同的文件格式:
-
如果是.jar文件:java-jar sample.jar
-
如果是.dll文件:请使用rundll32或OllyDBG。
-
如果你有一个.exe文件:只需运行它。
-
开始学习恶意软件分析的人,他们只是试图执行文件或从动态分析开始,但在执行样本之前,需要知道这些步骤非常有用,因为大多数时候你会从信息收集和静态分析中得到你想要的。
如果你能更好地解释这个问题,也许人们能更好地帮助你!
编辑:我将把这一部分添加到答案中,以涵盖评论。
为什么恶意软件文件夹中有其他文件,比如带有bin文件的可执行文件?
这是一个被恶意软件作者使用了几年的简单技巧。例如,在一种情况下,恶意软件的主文件可以是可执行文件(.exe),但实际上它一点也不有害!!!。它所做的只是下载另一个文件(例如.dll文件),这是真正的恶意代码(你可以称之为有效负载)。然而,发送和接收.dll文件也是可疑的,因此恶意软件作者使用其他文件扩展名或其他什么来隐藏恶意内容(比如Emotet变体中的.bin文件甚至.png文件)。问题是你不能像那样执行这些文件!因为有时存在加密/编码。你需要知道执行它们的过程,只有当你对样本进行逆向工程时才能知道。
例如:13ce4cd747e450a129d900e842315328->DLL文件
这意味着你可以使用Ollydbg或任何调试器+rundll32来分析它,但不能保证!!它可能被加密或编码,只有父文件(例如.exe示例)才能解密/解码它!
我现在有兴趣对我拥有的恶意软件进行内存分析。然而,我遇到的问题是如何执行许多勒索软件文件,我必须检查
我想说,使用Win10 VM+杜鹃沙盒执行所有这些操作并转储内存以进行进一步分析会很好。这都是自动完成的工作,可以做得很好。