首页
社区
课程
招聘
[原创]恶意代码分析实战第13章Lab13-01.exe分析
发表于: 2019-2-2 22:01 7271

[原创]恶意代码分析实战第13章Lab13-01.exe分析

2019-2-2 22:01
7271

结合恶意代码分析实战实验课后题,分析样本Lab13-01.exe

病毒名称:Lab13-01.exe

MD5: A9A2734D080E3AE0F5ADA35E878DA7C8

SHA1: E8AACB0990E9F3A415AC7D5E24E7F7287665C110

CRC32: CBFD3466

2.1 测试环境

Windows 7 32位操作系统

2.2 测试工具

查壳工具:PEID

监测工具:火绒剑、PCHunter

调试工具:OD、IDApro

将病毒样本拖入火绒剑中,过滤到网络监控,可以看到病毒在以Get请求访问图3-1中的网址:

 

图3-1 病毒的网络监控

在查看Lab13-01.exe中的字符串,发现了http://%s/%s/访问网址的字符串,可以结合网络监控中访问的http://www.practicalmalwareanalysis.com/V0lOLTBMUlI4Q0dR/得知两个%s分别是www.practicalmalwareanalysis.com与V0lOLTBMUlI4Q0dR,但是在字符串搜索时却没有发现这两个字符串,可以初步认定这两个字符串经过了加密。

 

图3-2 查看字符串

   使用PEID进行查壳,如图4-1病毒并没有加壳,是一个VC 6.0的程序

 

图4-1 病毒查壳

4.2 恶意程序的代码分析

将程序载入IDAPro中,找到main函数,如图4-2,WSAStartup是一个初始化网络功能的函数。

 

图4-2 main函数

使用F5快捷键,查看伪C代码,如图4-3,很清晰地看出这是一个循环体,这可能是一个循环等待接受消息。

 

图4-3 伪C代码

使用IDA Pro搜索恶意代码中字符串‘xor’,可以发现可能为加密的函数。

图4-4 搜索xor

进入函数内部,通过辨认,可以得知这个函数解密了一串数据。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-2-3 09:29 被Iam0x17编辑 ,原因:
上传的附件:
收藏
免费 5
支持
分享
最新回复 (6)
雪    币: 2575
活跃值: (502)
能力值: ( LV2,RANK:85 )
在线值:
发帖
回帖
粉丝
2
学习一下,春节快乐!
2019-2-2 22:36
0
雪    币: 26245
活跃值: (63297)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
3
赞!感谢分享!
2019-2-3 09:40
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
4
谢谢分享
2019-2-11 08:51
0
雪    币: 189
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
2019-2-17 16:42
0
雪    币: 16101
活跃值: (3549)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
谢谢分享
2019-2-19 12:24
0
雪    币: 3051
活跃值: (1392)
能力值: ( LV13,RANK:480 )
在线值:
发帖
回帖
粉丝
7
超哥 666
2019-2-21 10:26
0
游客
登录 | 注册 方可回帖
返回
//