[求助]病毒分析求助honeynetForensic Challenge 8 - "Malware Reverse Engineering"-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]病毒分析求助honeynetForensic Challenge 8 - "Malware Reverse Engineering"

发表于: 2011-7-23 18:31 5360

[求助]病毒分析求助honeynetForensic Challenge 8 - "Malware Reverse Engineering"

hellok

活跃值

3

2011-7-23 18:31

5360

样本文件每个函数N层嵌套，中间夹杂好多无用函数，汗。
大致看到virtualalloc多次申请释放文件原地替换执行，
最终释放到C:\alogine\alogine.exe 和config.bin
然后IE就打不开了（safemon.dll处退出）。
样本文件参见
http://www.honeynet.org.cn/?p=92
或https://www.honeynet.org/node/668

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

样本.rar （624.63kb，3次下载）

收藏・0

免费

支持

分享

最新回复 (5)
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 2 楼 0.0 其實他外面有一層˙很像殼層的東西我還在分析中，有跳到程式外在跳回去不過就跑飛了。 2011-7-23 22:31 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 3 楼很好奇那个循环嵌套子程序怎么写出来的。多层无用参数传递。我DUMP出一个MEM。貌似是UPX了的PE文件。我修复看看 2011-7-23 22:46 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 4 楼剛剛大概分析完全了，他除了創建資料夾外，他還會用windows的檔案系統漏洞建立一個刪除不掉的資料夾。現在正在看它裡面有甚麼東西，這個病毒跟我上次遇到的很像。目前的動作就這些，我正在想辦法還原他的程式碼，因為他程式碼有兩段，UPX脫殼後的是第一段之後會跳到003XXXXX的記憶體，之後再跳回去，這個是第二段。它的目的只是讓你無法分析出來，所以他也不一定要寫有用的程式碼。第二段程式碼才是重要的程式碼，第一段的程式碼其實是垃圾。而且目前是要用他的upx脫殼後的程式去分析，我現在正在研究看看能不能直接用它裡面的那段就好了。第二段的UPX在00450CD0 總共兩個UPX，再加上一堆垃圾代碼，還有一個不知道從哪讀取的resource，之後就將那些資料寫道003XXXXX，跳到那裏執行，之後就可以createmutexA 大概就這樣。 2011-7-23 23:02 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 5 楼啊，确实哈,我也DUMP出来了，自删除。重名名，注入几个主进程，注册表启动～呵上传的附件： sample.rar （89.56kb，1次下载） 2011-7-24 14:05 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 6 楼那些我在第一個動作我就看到了，只是我在看說，主要執行那個程式碼的地方，還有，就是能不能拖吊第二層的殼之後還能正常感染 2011-7-24 14:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

hellok

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区