Lab01.exe

这里先分析Lab01-01_exe

这里由于内存访问违规，崩溃了，我也懒得修改拷贝数据大小，就这样分析吧

接下来就劫持C盘中的exe的导入kernel32.dll 为 kerne132.dll(数字1)

修改所有exe中导入表的kernel32.dll的名称为kerne132.dll(数字1)，这样下次任意程序执行的时候都会加载恶意的dll

接下里分析Lab01-01.dll, dll就是一个命令执行的

继续分析lab01-02.exe, 使用了upx3.04加壳

使用upx工具或者转到OEP之后dump就行了

分析dump的程序

在main函数中，注册一个MalService的服务，sub_401040为服务函数

向系统注册服务，并且创建线程，调用网络函数，访问恶意链接

删除服务

Cmd：sc delete Malservice

Powershell: $mal = Get-WmiObject -Class WIN32_Service -Filter “Name=’Malservice’”

                $mal.Delete()

Lab-01-03.exe

FCG的压缩壳，使用OD自带的SFX跟踪脱壳，一般SFX能脱的壳是压缩壳

Dump下来用IDA静态分析

CLSID

得到CLSID为0002DF01-0000-0000-C000-000000000046，使用OleViewDotNet查询服务

上面调用的方法根据经验应该是IWebBrowser2接口中的LocationURL方法

Lab01-04.exe

Load程序我们分析完了，我们看一下资源段，并且分析资源提取出来的文件

这个程序只是一个下载器，下载的程序为真正的恶意wupdmgr.exe

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课