吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9200|回复: 8
收起左侧

[PC样本分析] GrandCrabV2.0初步分析(一)

[复制链接]
hercs 发表于 2018-8-23 23:55
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 hercs 于 2018-8-23 23:59 编辑

概览
这个病毒有很多比较妖的操作,我们这次先来把他加载运行部分分析一下。
母体分析
1.png
一上来会有几个大的循环,很费时,这是为了迷惑分析员,我用od下断点跑,跑了半天没断下来,当时还以为跑飞了。。。后来看伪代码才明白。
2.png
之后就会动态获取GlobalAlloc,然后读资源,加载到分配的内存中,然后修改属性,顺便说一下这个动态获取VirtualProtect的操作是放在一个933582的循环中运行的,只有当300601次循环才会运行,其他的都是迷惑人的,这病毒太坑爹了。。。
3.png
改变属性后,便会运行解密的代码,dump一下,发现是shellcode
shellcode分析
先放od里跑一跑
4.jpg
通过数据跟随就会发现这些很长的数字其实就是字符串,这些操作都是动态获取api然后存到栈上。
6.png
od会在注释里给你自动显示出来动态获取的api,这里我们看见他调了VirtualAlloc,记下栈中的分配大小和返回的分配基址,我们先数据窗口跟随到分配基址处,之后发现他又会调用一个函数,运行完后分配的基址就成了一个PE文件了
7.png
后面就是内存加载了,汇编写的,看着头晕,我就不截图了。
内存加载后就会运行这个PE文件
其实后面他还会再搞个PE出来,为了不混淆,我们给排个号这个dump出来的我们就叫Dll1
Dll1分析
上来就是个解密
8.png
解密完就是加载了,这里面有个获取导出函数的函数
9.png
点进去看就会发现有个字符串比较的操作,一猜就是遍历导入表,函数操作还原如下
10.png
注释已经很清楚了我就不解释了,接下来就是调用这个导出函数了,这就要进入他解密出来的dll里分析了,还是老套路我们先dump出来,拖到IDA
Dll2分析
这个主要是反射注入,先要通过RetAddress来获得当前指令下一条指令地址,然后向上迭代直到找到PE头
11.png
然后就是运行shellcode来获取api了
12.png
然后修复复制区段
13.png
修复IAT
14.png
修复重定位
15.png

最后运行dllmain跑起来
16.png
好了,这下终于把病毒跑起来了。






免费评分

参与人数 1吾爱币 +6 热心值 +1 收起 理由
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

hairch 发表于 2018-8-24 08:09
学习了,谢谢分享
静心圣情 发表于 2018-8-24 10:45
HCJ_V 发表于 2018-8-24 14:26
wenglk 发表于 2018-9-5 10:28
感谢分享!学习一下
Hmily 发表于 2018-9-5 17:53
那个pe都掏出来了,直接分析下功能?
52896009 发表于 2018-9-23 14:35
内容 有点多,我要慢慢学,谢谢楼主分享!
1677516854 发表于 2018-9-23 14:40
谢谢分享 可不可以帮忙分析一下我的这个病毒  https://www.52pojie.cn/thread-799697-1-1.html
52896009 发表于 2018-9-26 11:40
内容 有点多,我要慢慢学,谢谢楼主分享!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表