求救！exe文件被恶意修改成用图片形式打开！

Posted 2023-04-17

如题，exe格式文件都被恶意修改成用图片打开了双击打开，是没有预览的图片别的格式都还可以，就exe不行还有，注册表不管怎么修改后缀名都打不开高手帮帮忙啊！超紧急！！！！

Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\\exefile]
@="应用程序"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"[HKEY_CLASSES_ROOT\\exefile\\DefaultIcon]
@="%1"[HKEY_CLASSES_ROOT\\exefile\\shell][HKEY_CLASSES_ROOT\\exefile\\shell\\open]
"EditFlags"=hex:00,00,00,00[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command]
@="\\"%1\\" %*"[HKEY_CLASSES_ROOT\\exefile\\shell\\runas][HKEY_CLASSES_ROOT\\exefile\\shell\\runas\\command]
@="\\"%1\\" %*"[HKEY_CLASSES_ROOT\\exefile\\shellex][HKEY_CLASSES_ROOT\\exefile\\shellex\\DropHandler]
@="86C86720-42A0-1069-A2E8-08002B30309D"[HKEY_CLASSES_ROOT\\exefile\\shellex\\PropertySheetHandlers][HKEY_CLASSES_ROOT\\exefile\\shellex\\PropertySheetHandlers\\PifProps]
@="86F19A00-42A0-1069-A2E9-08002B30309D"[HKEY_CLASSES_ROOT\\exefile\\shellex\\PropertySheetHandlers\\ShimLayer Property Page]
@="513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8"[HKEY_CLASSES_ROOT\\exefile\\shellex\\PropertySheetHandlers\\B41DB860-8EE4-11D2-9906-E49FADC173CA]
@=""[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe]
@="exefile"
"Content Type"="application/x-msdownload"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe\\PersistentHandler]
@="098f2470-bae0-11cd-b579-08002b30bfeb"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile]
@="应用程序"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\DefaultIcon]
@="%1"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shell][HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shell\\open]
"EditFlags"=hex:00,00,00,00[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shell\\open\\command]
@="\\"%1\\" %*"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shell\\runas][HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shell\\runas\\command]
@="\\"%1\\" %*"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shellex][HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shellex\\DropHandler]
@="86C86720-42A0-1069-A2E8-08002B30309D"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shellex\\PropertySheetHandlers][HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shellex\\PropertySheetHandlers\\PifProps]
@="86F19A00-42A0-1069-A2E9-08002B30309D"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shellex\\PropertySheetHandlers\\ShimLayer Property Page]
@="513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile\\shellex\\PropertySheetHandlers\\B41DB860-8EE4-11D2-9906-E49FADC173CA]
@=""; “篮球梦音乐心”编写。《电脑公司特别版》作者借用。 参考技术A cclearer 试试 修复！！！

恶意代码分析实战3-34

本次实验分析两个实验文件，分别为lab03-03.exe,lab03-04.exe.先来看lab03-03.exe的相关问题
Q1使用process explorer工具进行监视时，注意到了什么
Q2可以找出任何的内存修改行为吗
Q3恶意代码在主机上的感染特征是什么
Q4该恶意代码的目的是什么
依次分析。
开启process explorer,然后启动程序lab03-03.exe
此时会发现process explorer一闪而过
​

该程序创建了svchost.exe之后，然后自身进程就消失了，将svchost.exe作为“孤儿”进程运行，如下图所示
​

而正常情况下的svchost.exe应该是这样的
​

上图是正常的svchost.exe,它的父进程是services.exe
而这里被创建成孤儿进程的svchost.exe比较可疑
Q1使用process explorer工具进行监视时，注意到了什么
A1.恶意代码执行了对svchost.exe文件的替换
选中这个可以的svchost.exe，右键-》propertites
​

   切换到stirngs

​

左下角的image,memory可以进行切换
分别是磁盘镜像和内存镜像
​

我们在内存镜像中看到了Log日志文件，以及下面的一些tab,caps lock之类类似于我们键盘符号的字符串；这些标志在典型的svchost.exe中是不会出现的
Q2可以找出任何的内存修改行为吗
A2对比内存映像与磁盘映像中的svchost.exe， 显示它们并不是一样的。内存映像拥有如practicalmalwareanalysis . log和[ENTER]这样的字符串，而磁盘镜像中却没有
我们猜测这可能是一个键盘记录器
我们来测试一下，打开记事本
​

然后根据这个进程的pid去process monitor过滤查看
​

pid为3356
​

在过滤后的结果中看到
​

一直在操作log文件
我们根据路径打开这个文件看看
​

可以看到记录了我们在哪个窗口，从键盘输入了什么，证实了猜测。
Q3恶意代码在主机上的感染特征是什么
A3.这个恶意代码创建了一个practicalmalwareanalysis.log日志文件

Q4该恶意代码的目的是什么
A4.这个程序在svchost.exe进程上执行了进程替换，来启动一个击键记录器
接下来我们分析lab03-04.exe
Q1当你运行这个文件时，会发生什么
Q2是什么原因造成动态分析无法有效实施
Q3是否有其他方式运行这个程序

先静态分析，载入peview看看
导入函数：
​

可以看到是有关注册表的操作，还有个deleteservice，待会儿会发现它的作用
再来看看有没有什么特殊的字符串

看到了域名、注册表位置（如SOFTWARE\\Microsoft\\XPS），http/1.0还有DOWNLOAD,UPLOAD等信息，我们的猜测是可能是一个后门程序，会未经允许访问网站。而-cc,-re,-in应该是一些命令行参数（如-in可能是install的缩写）
接下来进行动态分析，为了监控行为，打开process monitor,process explorer
将lab03-04.exe复制到桌面后双击
发现先是弹窗，继而程序自身就被删除了
Q1当你运行这个文件时，会发生什么
A1.当你双击它运行这个恶意代码时，程序会立即将自身删除掉。

整个过程中，process explore的进程列表没有任何变化
​

那么去process monitor看看
加上过滤条件
​

我们这里关注进程监控
​

可以看到有process create的操作，是打开了一个cmd程序
双击可以看到事件属性
​

可以知道，是通过cmd执行了一条命令，这条命令的字符串与我们之前静态分析看到的是一致的。
这条命令的作用就是删除自身。
Q2是什么原因造成动态分析无法有效实施
A2.我们怀疑可能需要提供-一个命令行参数，或者这个程序的某个部件缺失了 Q3是否有其他方式运行这个程序
A3我们尝试使用在字符串列表中显示的一些命令行参数，比如在前面查看字符串时看到的-in.-re,-cc等， 但这样做却没有得到有效的结果，需要更深入的分析。( 我们将在第9章的实验中进一步分析这个恶意代码。)