-
-
[原创]恶意代码分析实战Chapter1
-
2018-12-24 23:22
7434
-
Lab01.exe
这里先分析Lab01-01_exe
这里由于内存访问违规,崩溃了,我也懒得修改拷贝数据大小,就这样分析吧
接下来就劫持C盘中的exe的导入kernel32.dll 为 kerne132.dll(数字1)
修改所有exe中导入表的kernel32.dll的名称为kerne132.dll(数字1),这样下次任意程序执行的时候都会加载恶意的dll
接下里分析Lab01-01.dll, dll就是一个命令执行的
继续分析lab01-02.exe, 使用了upx3.04加壳
使用upx工具或者转到OEP之后dump就行了
分析dump的程序
在main函数中,注册一个MalService的服务,sub_401040为服务函数
向系统注册服务,并且创建线程,调用网络函数,访问恶意链接
删除服务
Cmd:sc delete Malservice
Powershell: $mal = Get-WmiObject -Class WIN32_Service -Filter “Name=’Malservice’”
$mal.Delete()
Lab-01-03.exe
FCG的压缩壳,使用OD自带的SFX跟踪脱壳,一般SFX能脱的壳是压缩壳
Dump下来用IDA静态分析
CLSID
得到CLSID为0002DF01-0000-0000-C000-000000000046,使用OleViewDotNet查询服务
上面调用的方法根据经验应该是IWebBrowser2接口中的LocationURL方法
Lab01-04.exe
Load程序我们分析完了,我们看一下资源段,并且分析资源提取出来的文件
这个程序只是一个下载器,下载的程序为真正的恶意wupdmgr.exe
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课