DGA

本节使用之前分析中的输出对DGA进行逆向,具体可以参照Pitou的虚拟DGA算法分析(一)。完成逆向后,利用Python对DGA进行重新实现。该脚本可以针对任何给定日期生成对应的DGA域名。
对一种非常有趣的DGA的分析文章,该DGA使用虚拟机作为保护措施。原文较长,故分为两个部分,第一部分先介绍对虚拟的逆向分析,第二部分介绍DGA的实现。
这个恶意软件使用了一种有效而有趣的混淆,除了混淆之外,Nymaim的有趣之处还在于它试图通过在A记录种添加校验和与在使用之前转换IP地址保护自己。