首页
社区
课程
招聘
[原创]白加黑完美进程替换过大厂主动防御
发表于: 2019-12-10 20:18 20725

[原创]白加黑完美进程替换过大厂主动防御

2019-12-10 20:18
20725

FileName     nwamj.exe

FileType       Trojan

FileSize        964,096Bytes

MD5             4605f766482ab01ee2ae6eeab212151d 


本人今日从app.any沙箱中捕获一款能过不少厂商的主动防御的样本,想到技术运用不错,拿来和大家分享分享。



首先使用Detect It Easy查壳:无壳


使用PEID查壳:无壳


样本初步判定是没有壳的。但是事实上并没有想象的简单。



样本运行后,三次变换启动自身进程,最终没有父进程。堂而皇之运行在任务管理器的进程栏中。没有其他的明显行为。

从ProcessExplorer中可以看出进程并没有父进程。这样主动防御溯源时会发现进程链断掉,这招能有效躲过主动防御。


使用ProcessHacker查看进程的权限发现进程提权为SeDebugPriviledge权限。 由此可以断定该进程并不简单,值得深入调查一波。


杀手锏了,用ProcessExplorer可以看到内存中一些字符串,是典型的窃取用户主机密码的恶意程序。

当然还有一些密码爆破的词典。其实这时进程是SeDbugPriviledge权限的情况下可以拒绝访问内存,这样不至于暴露内存字符串。为什么这么说,因为进程后面用到的技术还很完美,很难被人发掘。而恰恰这里暴露太多,才引起我的深入分析。


使用IDA分析其代码发现入口点处代码并不能反编译,但是后面函数中的代码可以正常反编译,想必入口点处应该是动了手脚。

没关系,拖入OD,动态分析最为真实。上图为典型的规避静态分析的手法,通过循环改变eax的值来动态调用函数。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2019-12-10 20:32 被绝望的皮卡丘编辑 ,原因:
上传的附件:
收藏
免费 8
支持
分享
最新回复 (19)
雪    币: 299
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
不明觉厉
2019-12-10 20:28
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
K360
2019-12-10 20:49
0
雪    币: 465
活跃值: (667)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
4
发在茶余饭后,让我等如何八卦。
2019-12-10 21:01
0
雪    币: 4402
活跃值: (1366)
能力值: ( LV7,RANK:113 )
在线值:
发帖
回帖
粉丝
5
膜拜大佬,这个虚拟机看着有点眼熟啊
最后于 2019-12-10 21:05 被Adventure编辑 ,原因:
2019-12-10 21:05
0
雪    币: 201
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
牛逼++,我也要牛逼++
2019-12-10 21:21
0
雪    币: 47
活跃值: (553)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
是我没看懂吗? 白程序内部资源应该是有个黑程序的,那么相当于这个白程序 其实本身就是黑程序 无非是加了签名,不然传统的 白加黑 肯定是需要一个第三方来实现傀儡的  白程序 自己对自己傀儡 那么只有一种可能 那就是白程序 本身就是个病毒,无非病毒加了个签名 我理解的对吗
2019-12-10 22:28
0
雪    币: 12688
活跃值: (4294)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
请问解决密码是??
2019-12-11 01:41
0
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
密码infected
2019-12-11 09:47
0
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
密码infected
2019-12-11 09:52
0
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
@qqzhu对啊,它其实就是个黑文件,只不过有藏在很多正常程序中了。没必要在意签名吧,很多白文件也都没有签名。
2019-12-11 09:55
0
雪    币: 22
活跃值: (443)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
不明觉厉 
2019-12-11 10:07
0
雪    币: 530
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
13
2019-12-12 10:28
0
雪    币: 17428
活跃值: (5009)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
15
好强
2021-6-1 09:08
0
雪    币: 221
活跃值: (375)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
应该加精
2021-10-14 22:26
0
雪    币: 3190
活跃值: (2864)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
17
能详细解释一下 “注入到自身进程,切断父进程溯源”吗
2021-10-15 10:01
0
雪    币: 94
活跃值: (465)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
切断父进程溯源 这个方法现在已经失效了
2022-4-15 11:29
0
雪    币: 864
活跃值: (5124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
mark
2022-4-28 17:42
0
雪    币: 295
活跃值: (506)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
2022-4-29 13:27
0
游客
登录 | 注册 方可回帖
返回
//