首页
论坛
专栏
课程

[病毒木马] [原创]恶意代码实战分析课后习题

2018-12-19 14:20 768

[病毒木马] [原创]恶意代码实战分析课后习题

2018-12-19 14:20
768

恶意代码实战分析·打怪升级...(直接从Lab01-02开始)

    一、文件上传到https://www.virustotal.com上进行分析并查看报告以及病毒特征

                                     网站上分析的效果很明显;
   二、查看是否有混淆或者加壳迹象
  
LoadLibraryA函数: 加载由参数 LibFileName 指定的 DLL 文件。
GetProcAddress函数: 检索指定的动态链接库(DLL)中的输出库函数地址
以上的两个函数是加壳的关键函数
      虽然PEid的红圈部分显示“什么也没有找到”。但是上面的EP段显示是“UPX1”,疑似是UPX加壳了;(脱壳之后才可以继续分析)

将文件放到PEview上,可以看到也许这个文件就是UPX加壳了!

放到OD上准备手动脱壳。目测使用ESP定律脱壳就可以脱掉:因为我这种防范也是在网上看大神的技术总结,所以我这脱壳就说明的言简意赅了。不过也会说明流程和思路。因为不光是为了其他人的参考也是自己的技术回顾。

首先,第一步F8到一行汇编,观察右边ESP寄存器变红即可。之后第二步点击下面EIP进行ESP回调操作。之后再下面的做ESP 0012FF6c 的硬件断点:dd 0012FF6C。此的硬件断点如下图操作:

之后到达 F9 到达另一端:

继续往下走的时候,再JMP处跳转,到达  OEP.

之后再进行 OD 的脱壳即可;
    三、有没有任何的导入函数暗示程序功能,如果有,有哪些?那些函数是什么功能?
               脱壳之后的程序再拖到工具查看:

CreateServiceA函数:创建服务
OpenSCManagerA函数: :建立一个连接到服务控制管理器并打开它的数据库。
StartServiceCtrlDispatcherA函数:也是关于服务的,具体参考在https://zhidao.baidu.com/question/95260733.html

这些函数的大概作用有定时器,获取指定进程,获取计算机时间计时

他也可以访问网络服务器, 通过一个完整的FTP,Gopher或HTTP网址打开一个资源。





[公告][征集寄语] 看雪20周年年会(12.28上海) | 感恩有你,一路同行

最新回复 (1)
binlmmhc 2018-12-19 18:54
2
0
为啥不去搞lab01-01, lab01-01挺有意思的啊
最后于 2018-12-19 18:54 被binlmmhc编辑 ,原因:
游客
登录 | 注册 方可回帖
返回