-
-
[原创]恶意代码分析实战Chapter1
-
发表于: 2018-12-24 23:22
-
Lab01.exe
这里先分析Lab01-01_exe
这里由于内存访问违规,崩溃了,我也懒得修改拷贝数据大小,就这样分析吧
接下来就劫持C盘中的exe的导入kernel32.dll 为 kerne132.dll(数字1)
修改所有exe中导入表的kernel32.dll的名称为kerne132.dll(数字1),这样下次任意程序执行的时候都会加载恶意的dll
接下里分析Lab01-01.dll, dll就是一个命令执行的
继续分析lab01-02.exe, 使用了upx3.04加壳
使用upx工具或者转到OEP之后dump就行了
分析dump的程序
在main函数中,注册一个MalService的服务,sub_401040为服务函数
向系统注册服务,并且创建线程,调用网络函数,访问恶意链接
删除服务
Cmd:sc delete Malservice
Powershell: $mal = Get-WmiObject -Class WIN32_Service -Filter “Name=’Malservice’”
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
