样本信息
静态分析
1、查壳
2、查看调用了什么算法
3.用IDA打开,可以发现代码逻辑清晰,推测没有加壳
4、查看导入表
可以在清晰的知道病毒使用ADVAPI32对注册表进行一系列操作
动态分析
5、沙箱运行
主要特征:设置桌面背景,删除系统文件,命令执行(包括不限于关闭安全服务,注册表操作,修改图标),鼠标设置为错误图标。
 
病毒分析
start**处分析**
 
写出文件
命令行执行
 
 
   
启动打印机
 
屏蔽快捷键
 
恶意软件生成内容
Main.cpp内容(从程序导出)
#include <tchar.h>
#include <windows.h>
int WINAPI WinMain (HINSTANCE hThisInstance,HINSTANCE hPrevInstance,LPSTR lpszArgument,int nCmdShow)
{
HWND hwnd = GetDesktopWindow();
HDC hdc = GetWindowDC(hwnd);
POINT point;
while(1)
{
GetCursorPos(&point);
DrawIcon(hdc,point.x,point.y,LoadIcon(NULL, IDI_ERROR));
Sleep(10);
}
}
Ghost.exe:
Drawerror.exe:顾名思义就是在鼠标经过的地方出现error图标(由main.cpp编译而来)
总结
新手分析病毒,如有错误欢迎指出。
https://pan.baidu.com/s/1S45g40UXdKGiGapOduiv8w
提取码:52po | 
[复制链接]
发表于 2020-9-11 22:43
