恶意软件分析：测试尝试（二）

我决定获取一个名为“ BC.Heuristic.Trojan.SusPacked.BF-6.A”的示例，出于其他的原因，我不会把程序链接放到该示例，但是该示例的MD5哈希为0148d6e7f75480b3353f1416328b5135 。可以将其用作打开的恶意软件站点上的搜索词，以查找本次分析尝试中使用的样本。

下载文件后，我会使用Regshot拍摄注册表和计算机上文件的快照。然后，我运行文件，拍摄了另一个快照，并比较了两者。结果显示，执行时创建了多个文件和文件夹。

我还注意到Debian服务器收到了来自被恶意软件感染的计算机的大量DNS请求。（部分查询用##修饰。）

因此，该恶意软件正尝试为其服务器获取其IP，我假设要么下载其他内容，要么向服务器发送一些数据。

由于存在此DNS请求，因此我想到的下一步是充分利用DNS服务器，并使用我自己的IP之一响应该请求，以查看下一步的操作。因此，我打开了/ etc / hosts文件，并向我的debian服务器192.168.56.101添加了指向se7aaaaa.no-##。###（已编辑）的新条目。然后，我在受恶意软件感染的计算机上启动了Wireshark，并重置了DNS守护进程。

这部分我不是100％确定的。但是我可以从中收集到的是，它正在尝试在端口81（即TOR端口）上与我的Debian服务器启动TCP连接。尽管这不一定意味着它试图以任何方式连接到TOR网络。无论服务器尝试执行什么操作，都无法正确响应（或根本无法响应），因此连接无法完全建立。我要做的下一步是在端口上设置一个netcat侦听器，然后查看正在发送的内容。为此，我输入了以下命令：

-l指定一个侦听器，-p指定我要侦听的端口。

最后我收到的是一大堆复杂的数据，这里就不演示了。

end