-
-
[原创]白加黑完美进程替换过大厂主动防御
-
发表于:
2019-12-10 20:18
20725
-
FileName nwamj.exe
FileType Trojan
FileSize 964,096Bytes
MD5 4605f766482ab01ee2ae6eeab212151d
本人今日从app.any沙箱中捕获一款能过不少厂商的主动防御的样本,想到技术运用不错,拿来和大家分享分享。
首先使用Detect It Easy查壳:无壳
使用PEID查壳:无壳
样本初步判定是没有壳的。但是事实上并没有想象的简单。
样本运行后,三次变换启动自身进程,最终没有父进程。堂而皇之运行在任务管理器的进程栏中。没有其他的明显行为。
从ProcessExplorer中可以看出进程并没有父进程。这样主动防御溯源时会发现进程链断掉,这招能有效躲过主动防御。
使用ProcessHacker查看进程的权限发现进程提权为SeDebugPriviledge权限。 由此可以断定该进程并不简单,值得深入调查一波。
杀手锏了,用ProcessExplorer可以看到内存中一些字符串,是典型的窃取用户主机密码的恶意程序。
当然还有一些密码爆破的词典。其实这时进程是SeDbugPriviledge权限的情况下可以拒绝访问内存,这样不至于暴露内存字符串。为什么这么说,因为进程后面用到的技术还很完美,很难被人发掘。而恰恰这里暴露太多,才引起我的深入分析。
使用IDA分析其代码发现入口点处代码并不能反编译,但是后面函数中的代码可以正常反编译,想必入口点处应该是动了手脚。
没关系,拖入OD,动态分析最为真实。上图为典型的规避静态分析的手法,通过循环改变eax的值来动态调用函数。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2019-12-10 20:32
被绝望的皮卡丘编辑
,原因: