題目描述:
某日,一小學生弄了個U盤到打印店打印文件,U盤往計算機上一插,發現機子死機了,高明的打印店老闆爲了防止此類事件,特意設置了霸王鍵,可一鍵備份,隨後老闆把U盤備份了交給小王,小王想要知道U盤裏到底被感染了什麼你能幫幫他嗎?
主機C:\Reverse\8目錄下提供了這個UP_BOOT.img文件,請對該文件進行逆向分析,找到題目過關的Flag。
實驗步驟:
1、病毒特性分析
病毒程序是一個img文件,這種文件不是可執行文件,因此無法直接運行。使用7zip打開這個文件,看看裏面是不是附加了什麼東西。選中文件後,單擊鼠標右鍵,在彈出的右鍵菜單中選擇“7Zip”——“Open archive”,如圖所示:
打開autorun.inf:
運行遊戲:
玩了幾把遊戲沒什麼發現,再次嘗試使用7Zip打開“是男人你就下100層.exe”這個文件:
發現裏面有三個文件,分別爲1.vbs、1.exe、2.exe。
2、使用在線沙箱分析
運行1.exe文件,就出現一個一閃而過的黑框。現在使用在線沙箱分析,查看1.exe都有哪些行爲特徵。
打開金山火眼(https://fireeye.ijinshan.com/ ),註冊一個賬號並激活,點擊“分析文件”上傳1.exe進行分析,等待一段時間就可以看到分析報告了。
查看分析報告。從分析報告中我們可以看出,1.exe釋放了一個test.txt文件到當前目錄,而且把test.txt的文件屬性設置爲系統和隱藏,因此看不到文件夾裏面多了一個txt文件。在使用記事本打開這個test.txt文件,文件內容爲(WdubQ4IGEzAG54NfATJTNhI4TLIvPvENyTLLWb3YCNBeK5wad5XCgrSQNOih1F):
3、計算flag信息
使用MD5計算工具,算出這個字符串的16位MD5值,爲a4620ba0298017b2,也就是要找的flag。
4、常見的在線沙箱包括但不限於:
金山火眼 https://fireeye.ijinshan.com/
韓海源文件B超 https://b-chao.com/
Anubis https://anubis.iseclab.org/
