恶意代码分析实战-启动一个恶意的DLL

如果不能把恶意代码运行起来，那么动态分析基础技术没有什么用。

Windows版本中包含rundll32.exe程序，提供了一个运行DLL的平台。

rundll32.exe Dllname,Export arguments

Export值必须是一个DLL文件导出函数表中的函数名或者序号。

PEID可以看导出函数表。

图1

Install就像是启动rip.dll的一个入口，所以可以用rundll32启动该恶意代码

恶意的DLL在DLLMain(称作DLL函数入口点)执行它们的代码，因为无论DLL什么时候加载，DLLMain函数总会执行，这样就能通过rundll32.exe加载DLL。

方法1：

C:&;rundll32.exe rip.dll,Install

方法2：

恶意代码也可以通过序号来导出函数，也就是说，导出函数只有一个序号，而没有函数名。

在前面加#号字符即可实现。

C:&;rundll32.exe xyzzy.dll,#5

方法3：

从IMAGE_FILE_HEADER的特征域里擦除IMAGE_FILE_DLL(0x2000)标记。这样的改变不会执行任何输入函数，但它会调用DLLMain方法，而且有可能造成恶意代码意想不到的崩溃或者终止。

只要能使恶意代码执行恶意部分为分析收集到信息就是目的。

PE结构位置：

struct IMAGE_NT_HEADERS NtHeader        E8h F8h Fg: Bg:0xFFE0FF 
    struct IMAGE_FILE_HEADER FileHeader     ECh 14h Fg: Bg:0xFFE0FF 
        struct FILE_CHARACTERISTICS Characteristics     FEh 2h  Fg: Bg:0xFFE0FF WORD
            WORD IMAGE_FILE_DLL : 1 1   FEh 2h  Fg: Bg:0xFFE0FF 0x2000  File is a DLL