首页
社区
课程
招聘
[原创]一个.net恶意样本的分析
发表于: 2019-3-14 18:11 6122

[原创]一个.net恶意样本的分析

2019-3-14 18:11
6122

1.样本概况

病毒名称:1d494e530060d1b4d320cfe58eedca4f732cf8f3

MD5: 8F47BB964E517429B9C50989B2D59005

SHA1: 1D494E530060D1B4D320CFE58EEDCA4F732CF8F3

CRC32: 9BD6E1BF

2.1.1 测试环境

Windows 7 32位操作系统

2.1.2 测试工具

查壳工具:PEID、ExeinfoPE

监测工具:火绒剑、PCHunter

调试工具:dnSpy

   使用PEID进行查壳,如图1-1是个.net编写的程序

 

图1-1 病毒查壳

将恶意程序手动脱壳,使用PEID的插件查看恶意程序的加密算法,并没有加密算法

 

图1-2 加密算法

将恶意样本上传到微步云沙箱,发现恶意程序有如下行为。

 

 

图1-3 云沙箱分析

将病毒样本拖入火绒剑中,过滤到行为监控,可以看到病毒释放了一个PE文件、启动PE文件并入侵进程。

 

图2-1 病毒释放文件

过滤到执行监控,看到恶意程序加载了一些模块。

 

图2-2 执行监控

过滤到文件监控

 

图2-3 文件监控

过滤到网络监控

 

图2-4 网络监控

最后使用注册表对比工具,将运行恶意程序前后对比,注册表在Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows设置键值


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 183
活跃值: (2427)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
楼主,可以就你那个PE模拟加载再开一个帖子吗,我JMP入口点程序就挂里
2019-6-26 18:35
0
游客
登录 | 注册 方可回帖
返回
//