吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14895|回复: 22
收起左侧

[PC样本分析] 某绒安全面试病毒分析(二)

[复制链接]
莫流云 发表于 2019-7-3 16:16
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
承接上次的分析,由于我个人对病毒分析很菜,然后我们这次就用到火绒剑这款工具和IDA来简单的看下病毒的行为,按照下面截图所示
WinXp_52Pojie_2.0-2019-07-03-14-30-58.png

从上面火绒剑的显示我们可以看到这个病毒做了下面的几个操作
对三处文件做了修改或生成,
然后更改了注册表项HEKY_LOCAL MACHINE……,
然后又设置http指定到carder.bit
设置连接ip为66.171.248.178:80
然后我们在载入ida看下导入表,
234.png
看到ADVAPI32是高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。
下面部分导入函数表的说明
2019-07-03_151109.png
2019-07-03_152415.png
2019-07-03_153729.png
2019-07-03_155011.png




免费评分

参与人数 2吾爱币 +1 热心值 +2 收起 理由
XのON + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
www.52pojie.cn + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

cutthesoul 发表于 2019-7-3 22:45
莫流云 发表于 2019-7-3 18:28
算是吧,一边学习一边瞎写嘻嘻

这一章是着重于静态分析吗?  我推荐你一本书叫做《Windows黑客编程技术详解》亚马逊上有
看完的话 能方便些,再学习病毒分析的时候不用去背上千个API   对于一个普通的病毒程序  进入用户电脑里  一般会干的只有几件事  启动方式,自启动方式,注入方式,隐藏自身方式,传输方式 这些都需要去调用系统的API   大致记住这些 在前期能加快你的分析效率  ,后面的慢慢去记
cutthesoul 发表于 2019-7-3 17:46
 楼主| 莫流云 发表于 2019-7-3 18:28
97hpa 发表于 2019-7-3 20:34
强大的火绒,每次看到神分析逆向病毒就贼过瘾
hedy16 发表于 2019-7-3 21:04
有点意思  共同学习
头像被屏蔽
Nghitsong 发表于 2019-7-3 22:43
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| 莫流云 发表于 2019-7-4 06:20
cutthesoul 发表于 2019-7-3 22:45
这一章是着重于静态分析吗?  我推荐你一本书叫做《Windows黑客编程技术详解》亚马逊上有
看完的话 能方 ...

谢谢大佬的建议
x163326 发表于 2019-7-4 09:29
不错,详细看了一下,有点收获
willJ 发表于 2019-7-4 09:35
楼主,我建议你一次性分析合并成一篇分析文章。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:23

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表