-
-
[原创]恶意代码分析实战第13章Lab13-01.exe分析
-
发表于:
2019-2-2 22:01
7271
-
[原创]恶意代码分析实战第13章Lab13-01.exe分析
结合恶意代码分析实战实验课后题,分析样本Lab13-01.exe
病毒名称:Lab13-01.exe
MD5: A9A2734D080E3AE0F5ADA35E878DA7C8
SHA1: E8AACB0990E9F3A415AC7D5E24E7F7287665C110
CRC32: CBFD3466
2.1 测试环境
Windows 7 32位操作系统
2.2 测试工具
查壳工具:PEID
监测工具:火绒剑、PCHunter
调试工具:OD、IDApro
将病毒样本拖入火绒剑中,过滤到网络监控,可以看到病毒在以Get请求访问图3-1中的网址:
图3-1 病毒的网络监控
在查看Lab13-01.exe中的字符串,发现了http://%s/%s/访问网址的字符串,可以结合网络监控中访问的http://www.practicalmalwareanalysis.com/V0lOLTBMUlI4Q0dR/得知两个%s分别是www.practicalmalwareanalysis.com与V0lOLTBMUlI4Q0dR,但是在字符串搜索时却没有发现这两个字符串,可以初步认定这两个字符串经过了加密。
图3-2 查看字符串
使用PEID进行查壳,如图4-1病毒并没有加壳,是一个VC 6.0的程序
图4-1 病毒查壳
4.2 恶意程序的代码分析
将程序载入IDAPro中,找到main函数,如图4-2,WSAStartup是一个初始化网络功能的函数。
图4-2 main函数
使用F5快捷键,查看伪C代码,如图4-3,很清晰地看出这是一个循环体,这可能是一个循环等待接受消息。
图4-3 伪C代码
使用IDA Pro搜索恶意代码中字符串‘xor’,可以发现可能为加密的函数。
图4-4 搜索xor
进入函数内部,通过辨认,可以得知这个函数解密了一串数据。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2019-2-3 09:29
被Iam0x17编辑
,原因: