首页
社区
课程
招聘
[原创]恶意代码分析实战第13章Lab13-02.exe分析
发表于: 2019-2-20 14:07 5169

[原创]恶意代码分析实战第13章Lab13-02.exe分析

2019-2-20 14:07
5169

结合恶意代码分析实战实验课后题,分析样本Lab13-02.exe

病毒名称:Lab13-02.exe

MD5: B65C4D7CBC4069DDBFF665370201E588

SHA1: 0184ACEB64037DCDADDE0A5975041304C92119A8

CRC32: 45409D1C

2.1 测试环境

Windows 7 32位操作系统

2.2 测试工具

查壳工具:PEID

监测工具:火绒剑、PCHunter

调试工具:OD、IDApro

将病毒样本拖入火绒剑中,可以看到恶意程序在一定时间间隔内不停创建文件。

 

图3-1 恶意程序行为分析

在当前文件夹下查看,可以看到恶意程序在不停生成文件。

 

图3-2 恶意程序生成文件

   使用PEID进行查壳,如图4-1病毒并没有加壳,是一个VC 6.0的程序

 

图4-1 病毒查壳

4.2 恶意程序的代码分析

将程序载入IDAPro中,找到main函数,如图4-2,主函数很简单,只调用了一个函数,在这里我将它命名为KeyFun。

 

图4-2 main函数

进入KeyFun函数,可以看到三个未命名函数(已经)和几个API函数,下面主要分析这三个函数。

 

图4-3 KeyFun函数

进入sub_401070函数,里面有相当多的API函数,查了一下,这些函数可能与屏幕截取有关。

 


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 26245
活跃值: (63297)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
感谢分享!
2019-2-20 14:12
0
游客
登录 | 注册 方可回帖
返回
//