吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6587|回复: 26
收起左侧

[PC样本分析] 某木马分析

  [复制链接]
safsaf 发表于 2022-12-1 18:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 safsaf 于 2022-12-1 18:23 编辑

回顾一下:
首先该病毒执行shellcode1解密shellcode2,shellcode2创建两个进程,来执行恶意代码。
MD5值为:D03D13C97C10669C812514F3BEB12EE9
恶意进程1:
它开始的也是解密真正的恶意代码去执行。
解密后的代码。

对解密的代码,修复偏移。

使用OD将恶意代码dump出来,使用IDA查看。

绑定socket,连接准备发送信息


通过接收的信息,来实现不同的功能
下载文件

下面通过接收不同指令,创建大量线程进行通信

创建大量线程

连接ip,发送消息

发送http包

上面就是该通信进程的行为。
恶意进程2:
也是动态的加载函数,下面是进程的流程。

复制病毒本身到C:\Users\15PB\AppData\Roaming\Identities\ylfyejlrex.exe
并创建了bat文件来删除原始病毒文件。

之后就是病毒找到explorer.exe,在该进程创建远程线程。
病毒为什么要找到该进程explorer.exe,而不是其他的进程,是因为如果你要调试explorer.exe进程,你的桌面切换什么都不好使了。
它用于管理Windows图形壳,包括桌面和文件管理,删除该程序会导致Windows图形界面无法使用。(百度的)
通过hash找到explorer.exe进程

写入恶意代码

创建远程线程


上面就是该进程的行为,之后就是分析Explorer.exe进程。
Explorer.exe
首先该恶意代码,拷贝出来很简单,但是使用IDA分析的时候,函数名的修复产生了很大的问题。
找了许多IDA脚本,终于找到了,修复函数名。就通过下面的方法。
在OD中将修复后的函数地址拷贝出来,通过excel拼接成下面格式,就可以看见函数名了,简直太方便了。
MakeNameEx(0x02242C78,"ntdll.LdrLoadDll",SN_PUBLIC);
MakeNameEx(0x02242C7C,"ntdll.LdrGetDllHandle",SN_PUBLIC);
首先该恶意代码上来就先检查了,当前进程名称是不是explorer.exe并且加载函数。(我之前让他注入到别的进程了,结果大意了,没有想到它进来又检查了进程名)。
是不是很眼熟,和上面的函数流程一样,判断进程名。
之后跑着跑着又检查了一次进程名。


将备份的病毒实现开机自启动,开机自启动。

之后通过sid进程判断,

在其他进程创建远程线程,恶意代码和explorer中的代码几乎一样。

我将其复制了出来,使用010editor查看了,一些发现大多数一样,不同指出是因为每次加载的基地址不同。

最后想问一下,有没有大佬指点一下那里需要改进,那里应该继续详细分析。
再就有没有公司招病毒分析可以联系一下吗

免费评分

参与人数 4威望 +1 吾爱币 +23 热心值 +4 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hanlaoshi + 1 + 1 用心讨论,共获提升!
ysy2001 + 1 + 1 谢谢@Thanks!
gdhgn + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| safsaf 发表于 2022-12-2 00:23
shutegame 发表于 2022-12-1 23:28
平时电脑有一下后台请求,不知道怎么判断是不是后台木马?

我也是才入这行,我感觉你可以查看下通信的ip,去微步在线搜索下,看是不是恶意ip地址呗,再就安装杀毒软件呗,正常用户不乱下东西基本应该可以满足需求。平时下载的文件不知道是不是恶意文件,可以放云沙箱里面看一下。
 楼主| safsaf 发表于 2022-12-1 22:49
myconan 发表于 2022-12-1 22:04
OD那个注释显示中文的用啥插件?

我也不清楚,注释是我自己写的,
daokedao 发表于 2022-12-1 21:11
myconan 发表于 2022-12-1 22:04
OD那个注释显示中文的用啥插件?
as110265 发表于 2022-12-1 23:02
学习一下
gdhgn 发表于 2022-12-1 23:18
平时电脑有一下后台请求,不知道怎么判断是不是后台木马?
shutegame 发表于 2022-12-1 23:28
平时电脑有一下后台请求,不知道怎么判断是不是后台木马?
snake88 发表于 2022-12-2 08:44
如读天书
DP811 发表于 2022-12-2 09:35
感谢分享,来学习一下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表