某绒安全面试病毒分析(二)
承接上次的分析,由于我个人对病毒分析很菜,然后我们这次就用到火绒剑这款工具和ida来简单的看下病毒的行为,按照下面截图所示从上面火绒剑的显示我们可以看到这个病毒做了下面的几个操作
对三处文件做了修改或生成,
然后更改了注册表项HEKY_LOCAL MACHINE……,
然后又设置http指定到carder.bit
设置连接ip为66.171.248.178:80
然后我们在载入ida看下导入表,
看到ADVAPI32是高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。
下面部分导入函数表的说明
莫流云 发表于 2019-7-3 18:28
算是吧,一边学习一边瞎写嘻嘻
这一章是着重于静态分析吗?我推荐你一本书叫做《Windows黑客编程技术详解》亚马逊上有
看完的话 能方便些,再学习病毒分析的时候不用去背上千个API 对于一个普通的病毒程序进入用户电脑里一般会干的只有几件事启动方式,自启动方式,注入方式,隐藏自身方式,传输方式 这些都需要去调用系统的API 大致记住这些 在前期能加快你的分析效率,后面的慢慢去记 楼主 你这是要连载吗? cutthesoul 发表于 2019-7-3 17:46
楼主 你这是要连载吗?
算是吧,一边学习一边瞎写嘻嘻 强大的火绒,每次看到神分析逆向病毒就贼过瘾 有点意思共同学习 cutthesoul 发表于 2019-7-3 22:45
这一章是着重于静态分析吗?我推荐你一本书叫做《Windows黑客编程技术详解》亚马逊上有
看完的话 能方 ...
谢谢大佬的建议 不错,详细看了一下,有点收获 楼主,我建议你一次性分析合并成一篇分析文章。