-
-
[原创]恶意代码实战分析课后习题
-
发表于: 2018-12-19 14:20
-
恶意代码实战分析·打怪升级...(直接从Lab01-02开始)
一、文件上传到https://www.virustotal.com上进行分析并查看报告以及病毒特征
网站上分析的效果很明显;
二、查看是否有混淆或者加壳迹象
LoadLibraryA函数:
加载由参数 LibFileName 指定的 DLL 文件。
GetProcAddress函数:
检索指定的动态链接库(DLL)中的输出库函数地址
以上的两个函数是加壳的关键函数
虽然PEid的红圈部分显示“什么也没有找到”。但是上面的EP段显示是“UPX1”,疑似是UPX加壳了;(脱壳之后才可以继续分析)
将文件放到PEview上,可以看到也许这个文件就是UPX加壳了!
放到OD上准备手动脱壳。目测使用ESP定律脱壳就可以脱掉:因为我这种防范也是在网上看大神的技术总结,所以我这脱壳就说明的言简意赅了。不过也会说明流程和思路。因为不光是为了其他人的参考也是自己的技术回顾。
首先,第一步F8到一行汇编,观察右边ESP寄存器变红即可。之后第二步点击下面EIP进行ESP回调操作。之后再下面的做ESP 0012FF6c 的硬件断点:dd 0012FF6C。此的硬件断点如下图操作:
之后到达 F9 到达另一端:
继续往下走的时候,再JMP处跳转,到达 OEP.
之后再进行 OD 的脱壳即可;
三、有没有任何的导入函数暗示程序功能,如果有,有哪些?那些函数是什么功能?
脱壳之后的程序再拖到工具查看:
CreateServiceA函数:创建服务
OpenSCManagerA函数:
:建立一个连接到服务控制管理器并打开它的数据库。
StartServiceCtrlDispatcherA函数:也是关于服务的,具体参考在https://zhidao.baidu.com/question/95260733.html
这些函数的大概作用有定时器,获取指定进程,获取计算机时间计时
他也可以访问网络服务器,
通过一个完整的FTP,Gopher或HTTP网址打开一个资源。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
