WEBVTT 00:01.390 --> 00:02.430 Bentornati. 00:02.440 --> 00:12.010 In questa lezione, effettueremo l'identificazione del file del campione di malware cinque e cercheremo 00:12.010 --> 00:21.520 di identificare se questo Trojan è stato scritto con un packer personalizzato o meno. 00:22.580 --> 00:24.680 Quindi iniziamo. 00:26.690 --> 00:32.840 Dovreste averlo scaricato dalla lezione precedente nella sezione delle risorse. 00:33.890 --> 00:34.670 Decomprimere il file. 00:38.200 --> 00:43.270 E la password per decomprimerlo è crackinglessons. com. 00:49.630 --> 00:50.950 Dopo averlo decompresso, 00:51.370 --> 00:53.800 lo analizzeremo. 00:54.850 --> 00:59.200 Vediamo di che tipo di file si tratta. 01:01.200 --> 01:04.560 Trasciniamo il campione di malware in TrID. 01:08.270 --> 01:14.540 TrID segnala che si tratta di un eseguibile per XP. 01:15.810 --> 01:21.000 Successivamente, lo analizzeremo con DIE. 01:27.230 --> 01:30.260 DIE è l'acronimo di Detect It Easy. 01:31.970 --> 01:37.790 Fare clic sulle tre linee tratteggiate e navigare fino alla cartella sul desktop 01:38.810 --> 01:42.590 contenente il campione di malware e aprirla. 01:46.020 --> 01:49.200 Detect It Easy non è riuscito a rilevare alcun packer. 01:50.970 --> 01:52.800 Facciamo clic sull'entropia. 01:54.470 --> 01:57.410 Entropy riferisce che non è imballato. 01:59.160 --> 02:05.160 Successivamente, lo analizzeremo con exeinfo PE. 02:10.120 --> 02:15.010 Trascinare il campione di malware numero cinque in exeinfo 02:15.040 --> 02:15.400 PE. 02:18.040 --> 02:18.940 Anche Exeinfo 02:18.940 --> 02:21.670 PE dice che non è imballato. 02:23.370 --> 02:32.970 La prossima cosa da fare per confermare se è già impacchettato o meno è usare PE Studio. 02:35.150 --> 02:38.210 Apriamo quindi PE Studio. 02:39.710 --> 02:40.880 Trasciniamo 02:41.830 --> 02:47.680 il malware in PE Studio e permettiamogli di iniziare l'analisi. 02:48.800 --> 02:50.000 Dagli un po' di tempo. 02:51.320 --> 02:55.040 PE Studio ha terminato l'analisi. 02:55.980 --> 03:02.700 E facendo clic sul link principale qui, si vedrà che non c'è alcuna firma nota. 03:04.640 --> 03:08.930 Il tipo di file è eseguibile e ha l'intestazione MZ. 03:09.560 --> 03:11.960 Si tratta quindi di un eseguibile PE. 03:13.440 --> 03:17.220 E se facciamo clic sulle librerie, vediamo 03:18.110 --> 03:22.610 solo tre librerie e pochissime importazioni. 03:23.610 --> 03:25.560 Se facciamo clic sullo IAT, 03:26.780 --> 03:32.000 vediamo che le funzioni API importate sono pochissime: una, due, tre, 03:32.480 --> 03:35.220 quattro, cinque, sei, sette. 03:35.240 --> 03:36.560 Solo otto. 03:37.640 --> 03:44.120 Si tratta quindi di una conferma positiva del fatto che questo malware è stato impacchettato. 03:45.760 --> 03:55.810 Possiamo anche cliccare sulle sezioni qui, e possiamo trovare sezioni anomale come . 2212, 2211 e così 03:55.810 --> 03:58.420 via. 03:59.550 --> 04:03.420 Anche se l'entropia qui mostrata è piuttosto bassa, ciò non significa 04:04.540 --> 04:06.970 che non sia impacchettata. 04:08.710 --> 04:18.010 Se si fa clic sulle stringhe qui e si scorre verso il basso, si vedrà che la maggior parte di esse sono illeggibili. 04:18.670 --> 04:24.340 Anche in questo caso, si tratta di un buon indicatore del fatto che questo malware è effettivamente confezionato. 04:26.650 --> 04:33.850 Ora che abbiamo concluso che questo malware è effettivamente impacchettato, possiamo iniziare a indagare 04:33.850 --> 04:38.140 in che modo è impacchettato e come disimballarlo. 04:38.620 --> 04:41.290 Lo faremo nella prossima lezione. 04:41.740 --> 04:43.120 Grazie per aver guardato.