-
-
[原创]恶意代码分析实战Chapter1
-
发表于:
2018-12-24 23:22
8438
-
Lab01.exe
这里先分析Lab01-01_exe
这里由于内存访问违规,崩溃了,我也懒得修改拷贝数据大小,就这样分析吧
接下来就劫持C盘中的exe的导入kernel32.dll 为 kerne132.dll(数字1)
修改所有exe中导入表的kernel32.dll的名称为kerne132.dll(数字1),这样下次任意程序执行的时候都会加载恶意的dll
接下里分析Lab01-01.dll, dll就是一个命令执行的
继续分析lab01-02.exe, 使用了upx3.04加壳
使用upx工具或者转到OEP之后dump就行了
分析dump的程序
在main函数中,注册一个MalService的服务,sub_401040为服务函数
向系统注册服务,并且创建线程,调用网络函数,访问恶意链接
删除服务
Cmd:sc delete Malservice
Powershell: $mal = Get-WmiObject -Class WIN32_Service -Filter “Name=’Malservice’”
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课