首页
社区
课程
招聘
[原创]捕获的木马样本,目前正在撒网抓鸡
发表于: 2019-5-14 16:53 5293

[原创]捕获的木马样本,目前正在撒网抓鸡

2019-5-14 16:53
5293

双击后自动消失并且隐藏自身。

释放在C:WINDOWS\SYSTEM32\RQVRME.EXE         C2出现了,还是打码,万一我被盯上就麻烦了。。。。

进行静态分析

获取到它的C2域名




获取执行的时间



获取本机的IP地址



这里不太懂,解出来的ip不是C2的,是不是想混淆IP,有大佬告诉我吗???



获取WIN的版本


这里有可能是反OD调试,进入一个CALL的时候死循环了,以前见过这种。od的异常处理有一个bug,就是他会自动的将异常关闭。但是这个bug就被一些人利用来反od了。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (8)
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
od的异常处理有一个bug,就是他会自动的将异常关闭。但是这个bug就被一些人利用来反od了,这个bug还没改回来么?
2019-5-14 21:30
0
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
楼主怎么抓到这个病毒的?
2019-5-14 21:36
0
雪    币: 12628
活跃值: (3127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
可以详细说说这个bug吗?
2019-5-15 07:11
0
雪    币: 2496
活跃值: (221)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
样本在哪.
2019-5-15 07:54
0
雪    币: 14
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
分析木马只用一个ida吗  。。。
2019-5-15 09:10
0
雪    币: 420
活跃值: (79)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
样本是它挂在网站上,被同事发现。样本MD5 :95625e5c76e4e7999b08de5fa25792d4
2019-5-15 09:45
0
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
wx_咸鱼_785523 样本是它挂在网站上,被同事发现。样本MD5 :95625e5c76e4e7999b08de5fa25792d4
解出来的ip不是C2的,是不是想混淆IP,有大佬告诉我吗
这些 c语言代码是根据汇编逆向出来的吗?
2019-5-15 12:10
0
雪    币: 420
活跃值: (79)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
对的,IDA那个
2019-5-15 12:12
0
游客
登录 | 注册 方可回帖
返回
//