首页
论坛
专栏
课程

[调试逆向] [病毒木马] [原创]恶意代码分析实战Chapter1

2018-12-24 23:22 1869

[调试逆向] [病毒木马] [原创]恶意代码分析实战Chapter1

2018-12-24 23:22
1869

Lab01.exe


这里先分析Lab01-01_exe


这里由于内存访问违规,崩溃了,我也懒得修改拷贝数据大小,就这样分析吧



接下来就劫持C盘中的exe的导入kernel32.dll 为 kerne132.dll(数字1)




修改所有exe中导入表的kernel32.dll的名称为kerne132.dll(数字1),这样下次任意程序执行的时候都会加载恶意的dll


接下里分析Lab01-01.dll, dll就是一个命令执行的


继续分析lab01-02.exe, 使用了upx3.04加壳


使用upx工具或者转到OEP之后dump就行了


分析dump的程序

在main函数中,注册一个MalService的服务,sub_401040为服务函数


向系统注册服务,并且创建线程,调用网络函数,访问恶意链接






删除服务

Cmd:sc delete Malservice

Powershell: $mal = Get-WmiObject -Class WIN32_Service -Filter “Name=’Malservice’”

                $mal.Delete()

Lab-01-03.exe


FCG的压缩壳,使用OD自带的SFX跟踪脱壳,一般SFX能脱的壳是压缩壳



Dump下来用IDA静态分析



CLSID


得到CLSID为0002DF01-0000-0000-C000-000000000046,使用OleViewDotNet查询服务


上面调用的方法根据经验应该是IWebBrowser2接口中的LocationURL方法




Lab01-04.exe









Load程序我们分析完了,我们看一下资源段,并且分析资源提取出来的文件



这个程序只是一个下载器,下载的程序为真正的恶意wupdmgr.exe




[公告]安全测试和项目外包请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (2)
媳妇说不知道 2018-12-25 18:53
2
1
优秀,双击666
rescuo 2018-12-27 13:41
3
1
可以啊,高手
游客
登录 | 注册 方可回帖
返回