-
-
[原创]恶意代码分析实战第13章Lab13-02.exe分析
-
发表于:
2019-2-20 14:07
5169
-
[原创]恶意代码分析实战第13章Lab13-02.exe分析
结合恶意代码分析实战实验课后题,分析样本Lab13-02.exe
病毒名称:Lab13-02.exe
MD5: B65C4D7CBC4069DDBFF665370201E588
SHA1: 0184ACEB64037DCDADDE0A5975041304C92119A8
CRC32: 45409D1C
2.1 测试环境
Windows 7 32位操作系统
2.2 测试工具
查壳工具:PEID
监测工具:火绒剑、PCHunter
调试工具:OD、IDApro
将病毒样本拖入火绒剑中,可以看到恶意程序在一定时间间隔内不停创建文件。
图3-1 恶意程序行为分析
在当前文件夹下查看,可以看到恶意程序在不停生成文件。
图3-2 恶意程序生成文件
使用PEID进行查壳,如图4-1病毒并没有加壳,是一个VC 6.0的程序
图4-1 病毒查壳
4.2 恶意程序的代码分析
将程序载入IDAPro中,找到main函数,如图4-2,主函数很简单,只调用了一个函数,在这里我将它命名为KeyFun。
图4-2 main函数
进入KeyFun函数,可以看到三个未命名函数(已经)和几个API函数,下面主要分析这三个函数。
图4-3 KeyFun函数
进入sub_401070函数,里面有相当多的API函数,查了一下,这些函数可能与屏幕截取有关。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课