吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9701|回复: 18
收起左侧

[PC样本分析] Backdoor.Zegost木马病毒深度分析(一)

[复制链接]
龙飞雪 发表于 2015-12-27 13:11
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 龙飞雪 于 2015-12-27 13:15 编辑

一、样本信息

样本名称:rt55.exe
样本大小: 159288 字节
文件类型:EXE文件
病毒名称:Win32.Backdoor.Zegost
样本MD5: C176AF21AECB30C2DF3B8B8D8AA27510
样本SHA1:16E951925E9C92BC8EFDF21C2FBAF46B6FFD13BC

二、行为具体分析


1.获取当前运行模块的命令行参数,根据当前命令行参数是否包含字符串"NewUpdatExe"进行判断,决定下面提到的内存解密PE文件是
调用导出函数NewUpdatExe还是导出函数xDllMain。

图片1.png

图片2.png

2.解密当前病毒进程内存地址为0x408070处,文件大小为0x17C00的被加密隐藏的PE文件。

图片3.png

图片4.png

3.加载内存解密的PE格式的Dll文件,进行恶意病毒行为的操作;具体的加载过程后面会具体分析。

图片1.png
图片2.png

图片3.png

4.将解密内存PE文件的每个区节块的数据从文件映射到申请的内存空间中。

图片4.png
图片5.png

5.对内存解密PE文件的重定位表Base RelocationTable进行重定位的修复。

图片6.png
图片7.png

重定位相关的代码可以参考网址:http://blog.sina.com.cn/s/blog_6ac942220100l8c2.html

6. 获取解密内存PE文件的导入表中的INT表中的函数的调用地址填充IAT表。

图片8.png
图片9.png
图片10.png

7. 循环修改解密内存PE文件的各区节块数据段的内存数据属性。

图片11.png

图片12.png
图片13.png
图片14.png

8.运行的病毒进行将PE文件(dll文件)的加载已经基本完成了,因此这个被病毒进行内存加载的PE的动态库文件是有效可以执行的;
因此以该内存PE动态库的OEP为函数指针执行恶意的代码。

图片15.png

图片16.png

9. 获取导出函数名称字符串"NewUpdatExe"或"xDllMain",用以获取解密内存PE文件的导出函数"NewUpdatExe"或"xDllMain"的调用地址。

图片17.png
图片20.png

遍历内存解密PE文件的导出表,获取需要的导出函数"NewUpdatExe"或"xDllMain"的调用地址。

图片18.png
图片19.png

10.根据步骤1中的传入的函数的名称"NewUpdatExe"或者"xDllMain",根据上面的步骤获取需要的导出函数"NewUpdatExe"或者"xDllMain"的地址,
然后调用内存解密PE动态库文件的导出函数"NewUpdatExe"或者"xDllMain",执行恶意的代码;然后再次以内存解密PE文件的OEP为函数指针,
执行内存PE文件的代码,执行恶意行为。

图片21.png

三、 病毒分析总结

总体来说,上面的详细的分析,基本可以使用一句话总结,那就是:宿主样本程序通过LoadPE的方式加载解密的PE动态库dll文件,然后
有加载的PE动态库dll文件来执行具体恶意的病毒行为,从而达到逃过杀软的查杀的目的。关于Backdoor.Zegost木马病毒的具体行为也
就是内存解密PE动态dll文件的恶意行为后面会详细的分析。

图片22.png

注:由于笔记本的屏幕发白,截图总是显示发白发花,具体的分析见分析的PDF文档。这个木马病毒使用的手法也不是什么新的手法,只是分析一下
该木马的实现方法,关注一下LoadPE的方法,和加壳的原理有些相似


Backdoor.Zegost木马病毒分析(1).zip

1.96 MB, 下载次数: 61, 下载积分: 吾爱币 -1 CB

分析pdf文档

免费评分

参与人数 7热心值 +7 收起 理由
1485573943 + 1 我很赞同!
Hyabcd + 1 我很赞同!
Mr.Mlwareson_V + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
慕容影 + 1 我很赞同!
expasy + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
山顶的一棵草 + 1 先收藏了。等提升后再回来看~
杨利君 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 龙飞雪 发表于 2015-12-27 20:18
Mr.Mlwareson_V 发表于 2015-12-27 19:25
龙大作品必属精品,学习了

多谢你们的支持,以后多多分析病毒的利用技术,解开病毒的实现技术,分享给大家,菜鸟一只踏踏实实的学。
 楼主| 龙飞雪 发表于 2015-12-27 17:51
一生情独醉 发表于 2015-12-27 13:22
这一长串的文字图片,发帖子不容易啊,感谢楼主的分析,感谢分享~

哈哈,谢谢,主要笔记本的高显示屏发白,导致图片的截图不清楚,很烦。
杨利君 发表于 2015-12-27 13:16
一生情独醉 发表于 2015-12-27 13:22
这一长串的文字图片,发帖子不容易啊,感谢楼主的分析,感谢分享~
笑忘书言 发表于 2015-12-27 14:00
这个好,学习了
头像被屏蔽
慕容影 发表于 2015-12-27 14:59
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| 龙飞雪 发表于 2015-12-27 17:20
杨利君 发表于 2015-12-27 13:16
辛苦了!很高兴看到你的主题。

哈哈,多谢你的支持。
 楼主| 龙飞雪 发表于 2015-12-27 17:25
慕容影 发表于 2015-12-27 14:59
学好破解和分析文件大致只有熟悉每个函数和命令和每个工具每个地方的使用方法就不难了。

是的,说的很有道理,确实是这样的。
Mr.Mlwareson_V 发表于 2015-12-27 19:25
龙大作品必属精品,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表