Dynamic Analysis

Question 1

Hvad er dynamic analysis?

Answer 1

Det kan involvere at udføre og observere malwares adfærd i et kontrolleret miljø for at forstå, hvad der sker i koden, og forstå funktionaliteten.

Question 2

Hvorfor laver man en dynamic analysis?

Answer 2

?

Question 3

Hvornår udfører man en dynamic analysis?

Answer 3

Det gør man efter den statiske analyse.

Question 4

Hvilken slags værktøj bruger man til dynamic analysis?

Answer 4

Man bruger en debugger.

Question 5

Hvad er forskellen på den debugger, man bruger i REM, sammenlignet med den, man kender fra IDE’er?

Answer 5

1. Den fra IDE’er er en debugger på source-level, som giver os mulighed for at sætte breakpoints i kildekoden for at undersøge de forskellige trin.
2. Den man bruger i REM er Assembly-Level debuggere.

Question 6

Hvorfor bruger man Assembly-Level debuggere i REM?

Answer 6

Fordi den ikke behøver adgang til kildekoden.
Når man beskæftiger sig med malware, får man ikke kildekoden, fordi man allerede ved, hvad malwaren gør.

Question 7

Når man bruger x32dbg(debugger) bruger
man information om import fra vores statiske analyse, hvad er en import?

Answer 7

Det er eksterne biblioteker eller moduler, som en EXE- eller DLL-fil er afhængig af.
Det er defineret i det binære, men forventes at være tilgængeligt ved runtime.

Question 8

Hvad er nogle eksempler på de importer, man bør kigge efter, når man går ind i debuggeren og starter den dynamiske analyse?

Answer 8

1. isDebuggerPresent
2. HttpOpenRequest
3. HttpSendRequest
4. InternetReadFile
5. InternetOpen
6. InternetConnect
7. RegOpenKey
8. RegSetKey
9. CryptDecrypt

Question 9

Hvad gør importen ‘isDebuggerPresent’?

Answer 9

Når exe-filen(programmet) køres, vil den som det første kontrollere, om den kører i en debugger.

Hvis programmet kører i en debugger, vil det nedbryde programmet.

Hvis ikke, vil den fortsætte med at udføre resten af koden.

Question 10

Hvad er anti-analyse?

Answer 10

Det er teknikker eller metoder, der anvendes til at forhindre eller hindre analyse og reverse engineering af et program eller en kode.

Question 11

Hvad er 2 muligheder for at omgå isDebuggerPresent-funktionen under kørsel?

Answer 11

1. Skift output af isDebuggerPresent i runtime.
2. Patch programmet, men vær forsigtig, da det kan indføre betydelige ændringer, herunder ændring af hash-værdier.

Question 12

Hvordan skrifter man outputtet af “isDebuggerPresent” i runtime?

Answer 12

Man skal finde, hvor den registrerer, at debuggeren er til stede, og ændre værdien i det relevante register til det modsatte af, hvad det registrerede (normalt 0/1 for falsk/sand).