一、项目介绍（STAR 法则）

面试官：请你详细介绍一下这个恶意样本逆向分析及渗透溯源项目，重点说明你在其中的角色和核心贡献。

你：好的。这个项目是我们受客户委托，处置一起企业员工终端恶意程序感染事件。我的角色是核心的逆向分析工程师，负责对恶意样本进行深度分析，并主导后续的渗透溯源工作。

• Situation（背景）：客户企业的员工终端突然出现异常行为，经初步排查确认感染了未知恶意程序，存在敏感数据泄露和内网扩散的风险。
• Task（任务）：我的核心任务是通过逆向分析恶意样本，还原攻击流程，定位攻击源头，验证漏洞利用路径，并最终协助客户完成溯源闭环与安全加固，避免恶意程序进一步扩散。
• Action（行动）：
  1. 样本预处理：我首先从客户的感染终端中提取了 exe 格式的恶意样本，使用 Virustotal 进行初步查杀，确认这是一种新型远控木马变种。接着用 PEiD 查看样本壳信息，发现是 UPX 加壳，随后使用 UPX 脱壳工具完成基础脱壳，得到了样本的原始可执行文件。
  2. 静态逆向分析：在得到脱壳后的样本后，我使用 IDA Pro 和 OllyDbg 调试器进行静态分析。通过梳理代码逻辑，识别样本的字符串、导入表及关键函数，我发现这个样本包含三大核心模块：持久化模块、远程控制模块和数据窃取模块，它可以窃取终端的账号密码、浏览器缓存等敏感信息。
  3. 动态逆向验证：为了验证静态分析的结论，我搭建了完全隔离的测试环境来运行样本。使用 Wireshark 抓取网络流量，成功分析出了其 C2 服务器地址和通信协议；同时，通过动态调试，获取了样本修改注册表启动项的持久化方式，以及用于加密传输数据的密钥，成功解密了样本传输的敏感数据。
  4. 渗透溯源与加固：结合逆向得到的 C2 地址和攻击特征，我配合渗透测试手段，对客户内网资产进行扫描，最终定位到攻击源头是员工点击了钓鱼邮件的附件。之后，我协助客户排查并清除了内网其他 12 台感染终端的恶意样本及注册表残留，并根据逆向发现的漏洞点，提供了终端加固建议。
• Result（结果）：通过完整的逆向分析，我们成功输出了分析报告，协助客户封禁了 3 个 C2 服务器 IP，清除了 12 台感染终端的恶意程序，有效阻断了恶意程序的扩散，避免了敏感数据的进一步泄露，得到了客户的高度认可。

二、深度技术追问（逐字稿）

1. 样本预处理与脱壳

面试官：你提到用 PEiD 查壳和 UPX 脱壳，能具体说一下吗？如果遇到非 UPX 的壳，比如 ASPack，你会怎么处理？

你：没问题。PEiD 主要是用来快速识别样本的编译器和加壳工具，我当时用它确认了这个样本是用 UPX 加壳的，然后直接用 UPX 工具的-d参数就完成了脱壳，得到了原始的可执行文件。

如果遇到像 ASPack 这种更复杂的壳，我会分几步处理：

• 首先，我会尝试使用专门的脱壳脚本或工具，比如AspackDie，看能否自动脱壳。
• 如果自动脱壳失败，我会在调试器（如 x64dbg）中手动跟踪。我会在程序入口点设置断点，单步执行，跟踪到程序的原始入口点（OEP），然后手动 dump 出内存中的原始代码，再修复导入表，得到可分析的文件。

2. 静态逆向分析

面试官：你在 IDA Pro 中分析出了三大核心模块，是通过什么特征识别出来的？能举一个关键函数的例子吗？

你：我主要是通过字符串和导入表来识别这些模块的。

• 比如，我在字符串中发现了RegSetValueEx和Software\\Microsoft\\Windows\\CurrentVersion\\Run，这明显指向了修改注册表实现开机自启的持久化模块。
• 同时，样本导入了ws2_32.dll中的socket、connect、send、recv等网络函数，这说明它具备远程控制能力，也就是远控模块。
• 另外，我还发现了对CryptProtectData等函数的调用，以及一些与浏览器缓存路径相关的字符串，这表明它有窃取和加密敏感数据的功能，即数据窃取模块。

3. 动态逆向验证

面试官：你在隔离环境中运行样本，用 Wireshark 抓包分析 C2 通信。如果 C2 通信是加密的，你怎么获取通信协议和密钥？

你：如果 C2 通信是加密的，直接抓包是看不到明文的。这时候我会用动态调试的方法。我会在调试器中对send或WSASend等网络发送函数下断点。当样本准备发送加密数据时，程序会暂停。此时我可以回溯调用栈，找到负责加密的函数。然后在加密函数执行之前，也就是数据还在内存中是明文的时候，dump 出内存中的明文数据和加密密钥。通过这种方式，我就能还原出通信协议和密钥了。

4. 渗透溯源与加固

面试官：你是如何结合逆向得到的信息进行渗透溯源的？在协助客户加固时，除了清除样本，还提出了哪些终端层面的建议？

你：我们将逆向得到的 C2 服务器 IP 和钓鱼邮件附件的哈希值作为攻击特征，在内网中进行扫描和排查，最终定位到了 12 台同样感染了该恶意程序的终端。

在终端加固方面，我们提出了几点核心建议：

1. 禁用 Office 宏：建议客户通过组策略禁用 Office 文档中的默认宏执行，防止类似的钓鱼邮件附件被执行。
2. 限制脚本执行：通过 AppLocker 或 PowerShell 执行策略，限制 PowerShell、WScript 等脚本解释器的运行，减少攻击面。
3. 部署终端检测与响应（EDR）：为所有终端部署 EDR 解决方案，实时监控异常的注册表修改、网络连接和文件行为，做到早发现、早处置。
4. 应用安全补丁：及时为操作系统和应用程序安装最新的安全补丁，封堵已知漏洞。

5. 最大挑战与解决

面试官：这个项目中，你遇到的最大挑战是什么？你是如何解决的？

你：最大的挑战是样本的 C2 通信采用了自定义的加密算法，常规的抓包无法直接解析协议内容。我当时的解决思路是，既然静态分析无法直接得到密钥，那就从动态调试入手。我在调试器中对send函数下断点，成功捕获了样本在发送数据前的内存快照，在其中找到了加密前的明文数据和加密密钥。通过这个密钥，我成功还原了整个通信协议，这为后续封禁 C2 服务器和溯源攻击源头提供了最关键的信息。