[原创]一款下载者病毒分析流程
本帖最后由 一个悲桑的问题 于 2018-2-9 23:07 编辑[原创] 转载请声明!
感谢吾爱破解,感谢15PB!
严重声明:本人所发文章与附加数据均为兴趣教学使用,严禁不法分子挪作他用,如若造成损失或不良后果,请自己承担!严重者,将承担国家刑事责任!均与本人无任何关系,特此申明!!!
我也不知道那儿来的这个病毒,反正它就在我虚拟机丢着,那我就拿出来瞅瞅!
---------------------------------------------------------------------------------------------------------
先观察其行为特征:
发现特征并不明显,但存在网络请求。
1. 观察有无壳
a) 发现PE工具报告什么都没找到,拖入OD瞄两眼
b) 脱壳
但是很遗憾的是 这个地方脱掉的不是真正的壳,因为脱掉的无法正常运行
一个很有趣的地方来了
此位置保存了N个寄存器的值,假设为壳的话那么 结束的时候他要做的必然就是N个POP寄存器,所以我们在PUSH EBP这个位置下个硬件读取断点,GO一下
然后就可以正常脱壳了
2. 将脱壳后的文件拖入IDA中,观察伪代码
a) IDA很人性化的帮我识别出了WinMain函数
b) 我们仔细观察main函数里边发现:程序先获取了服务的状态与信息
再创建一个新线程执行以下步骤:
其sub_402A40函数如下:
再创建一个线程执行链接网站、下载数据,创建服务、修改注册表、提权、以cmd命令形式执行各种联网等操作
然后在创建一个循环,不断创建线程执行以下功能:
所以重点不在这,而在从网络下载的样本中!
按理说,一个样本最好能通过od实时加载给诸位看,我本来也打算通过OD调试的,不知道为什么就是懒病犯了,所以这个毒就交给大伙玩了,调试好了发篇文章也叫我瞅瞅,记得@我一下哈!
病毒IDA静态分析数据idb文件附加在压缩文件中了和病毒在一起 诸位要是有兴趣去看了可以瞅瞅!
附加数据解压密码:www.52pojie.cn
的点点滴滴多过若付多噶的呃呃 {:1_904:}获得市级安徽的就撒谎电话即可 我慢慢学习!谢谢分享!! 吾爱有你更加精彩。 厉害的楼主,膜拜 全盘感染+内网传播 的点点滴滴多过若付多噶 感谢楼主分享 小白学习一下
页:
[1]
2