[原创]白加黑完美进程替换过大厂主动防御-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

[原创]白加黑完美进程替换过大厂主动防御

发表于: 2019-12-10 20:18 20723

[原创]白加黑完美进程替换过大厂主动防御

绝望的皮卡丘

2019-12-10 20:18

20723

FileName nwamj.exe

FileType Trojan

FileSize 964,096Bytes

MD5 4605f766482ab01ee2ae6eeab212151d

本人今日从app.any沙箱中捕获一款能过不少厂商的主动防御的样本，想到技术运用不错，拿来和大家分享分享。

首先使用Detect It Easy查壳：无壳

使用PEID查壳:无壳

样本初步判定是没有壳的。但是事实上并没有想象的简单。

样本运行后，三次变换启动自身进程，最终没有父进程。堂而皇之运行在任务管理器的进程栏中。没有其他的明显行为。

从ProcessExplorer中可以看出进程并没有父进程。这样主动防御溯源时会发现进程链断掉，这招能有效躲过主动防御。

使用ProcessHacker查看进程的权限发现进程提权为SeDebugPriviledge权限。由此可以断定该进程并不简单，值得深入调查一波。

杀手锏了，用ProcessExplorer可以看到内存中一些字符串，是典型的窃取用户主机密码的恶意程序。

当然还有一些密码爆破的词典。其实这时进程是SeDbugPriviledge权限的情况下可以拒绝访问内存，这样不至于暴露内存字符串。为什么这么说，因为进程后面用到的技术还很完美，很难被人发掘。而恰恰这里暴露太多，才引起我的深入分析。

使用IDA分析其代码发现入口点处代码并不能反编译，但是后面函数中的代码可以正常反编译，想必入口点处应该是动了手脚。

没关系，拖入OD，动态分析最为真实。上图为典型的规避静态分析的手法，通过循环改变eax的值来动态调用函数。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-12-10 20:32 被绝望的皮卡丘编辑，原因：

上传的附件：

nwamj.bin.zip （558.07kb，118次下载）

收藏・43

免费・8

支持

最新回复 (19)
QZ2019 雪币： 299 能力值： ( LV1，RANK：0 ) 在线值：发帖 17 回帖 92 粉丝 5 关注私信	QZ2019 2 楼不明觉厉 2019-12-10 20:28 0
wx_蓝天白云_432 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_蓝天白云_432 3 楼 K360 2019-12-10 20:49 0
ssarg 雪币： 465 活跃值： (667) 能力值： ( LV4，RANK：40 ) 在线值：发帖 63 回帖 484 粉丝 2 关注私信	ssarg 4 楼发在茶余饭后，让我等如何八卦。 2019-12-10 21:01 0
Adventure 雪币： 4402 活跃值： (1366) 能力值： ( LV7，RANK：113 ) 在线值：发帖 17 回帖 73 粉丝 24 关注私信	Adventure 5 楼膜拜大佬，这个虚拟机看着有点眼熟啊最后于 2019-12-10 21:05 被Adventure编辑，原因： 2019-12-10 21:05 0
顽皮的老马雪币： 201 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	顽皮的老马 6 楼牛逼++，我也要牛逼++ 2019-12-10 21:21 0
qqzhu 雪币： 47 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	qqzhu 7 楼是我没看懂吗? 白程序内部资源应该是有个黑程序的,那么相当于这个白程序其实本身就是黑程序无非是加了签名,不然传统的白加黑肯定是需要一个第三方来实现傀儡的白程序自己对自己傀儡那么只有一种可能那就是白程序本身就是个病毒,无非病毒加了个签名我理解的对吗 2019-12-10 22:28 0
Sam.com 雪币： 12688 活跃值： (4294) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 100 粉丝 1 关注私信	Sam.com 8 楼请问解决密码是?? 2019-12-11 01:41 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 9 楼密码infected 2019-12-11 09:47 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 10 楼密码infected 2019-12-11 09:52 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 11 楼 @qqzhu对啊，它其实就是个黑文件，只不过有藏在很多正常程序中了。没必要在意签名吧，很多白文件也都没有签名。 2019-12-11 09:55 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 12 楼不明觉厉 2019-12-11 10:07 0
拂衣雪币： 530 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	拂衣 13 楼顶 2019-12-12 10:28 0
jishuzhain 雪币： 17428 活跃值： (5009) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 15 楼好强 2021-6-1 09:08 0
苗疆道事雪币： 221 活跃值： (375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	苗疆道事 16 楼应该加精 2021-10-14 22:26 0
. 雪币： 3190 活跃值： (2864) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 107 粉丝 1 关注私信	. 17 楼能详细解释一下 “注入到自身进程，切断父进程溯源”吗 2021-10-15 10:01 0
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 18 楼切断父进程溯源这个方法现在已经失效了 2022-4-15 11:29 0
suuuuu 雪币： 864 活跃值： (5124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 299 粉丝 8 关注私信	suuuuu 19 楼 mark 2022-4-28 17:42 0
fengxu 雪币： 295 活跃值： (506) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 91 粉丝 1 关注私信	fengxu 1 20 楼强 2022-4-29 13:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

绝望的皮卡丘

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
QZ2019 雪币： 299 能力值： ( LV1，RANK：0 ) 在线值：发帖 17 回帖 92 粉丝 5 关注私信	QZ2019 2 楼不明觉厉 2019-12-10 20:28 0
wx_蓝天白云_432 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_蓝天白云_432 3 楼 K360 2019-12-10 20:49 0
ssarg 雪币： 465 活跃值： (667) 能力值： ( LV4，RANK：40 ) 在线值：发帖 63 回帖 484 粉丝 2 关注私信	ssarg 4 楼发在茶余饭后，让我等如何八卦。 2019-12-10 21:01 0
Adventure 雪币： 4402 活跃值： (1366) 能力值： ( LV7，RANK：113 ) 在线值：发帖 17 回帖 73 粉丝 24 关注私信	Adventure 5 楼膜拜大佬，这个虚拟机看着有点眼熟啊最后于 2019-12-10 21:05 被Adventure编辑，原因： 2019-12-10 21:05 0
顽皮的老马雪币： 201 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	顽皮的老马 6 楼牛逼++，我也要牛逼++ 2019-12-10 21:21 0
qqzhu 雪币： 47 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	qqzhu 7 楼是我没看懂吗? 白程序内部资源应该是有个黑程序的,那么相当于这个白程序其实本身就是黑程序无非是加了签名,不然传统的白加黑肯定是需要一个第三方来实现傀儡的白程序自己对自己傀儡那么只有一种可能那就是白程序本身就是个病毒,无非病毒加了个签名我理解的对吗 2019-12-10 22:28 0
Sam.com 雪币： 12688 活跃值： (4294) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 100 粉丝 1 关注私信	Sam.com 8 楼请问解决密码是?? 2019-12-11 01:41 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 9 楼密码infected 2019-12-11 09:47 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 10 楼密码infected 2019-12-11 09:52 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 11 楼 @qqzhu对啊，它其实就是个黑文件，只不过有藏在很多正常程序中了。没必要在意签名吧，很多白文件也都没有签名。 2019-12-11 09:55 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 12 楼不明觉厉 2019-12-11 10:07 0
拂衣雪币： 530 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	拂衣 13 楼顶 2019-12-12 10:28 0
jishuzhain 雪币： 17428 活跃值： (5009) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 15 楼好强 2021-6-1 09:08 0
苗疆道事雪币： 221 活跃值： (375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	苗疆道事 16 楼应该加精 2021-10-14 22:26 0
. 雪币： 3190 活跃值： (2864) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 107 粉丝 1 关注私信	. 17 楼能详细解释一下 “注入到自身进程，切断父进程溯源”吗 2021-10-15 10:01 0
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 18 楼切断父进程溯源这个方法现在已经失效了 2022-4-15 11:29 0
suuuuu 雪币： 864 活跃值： (5124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 299 粉丝 8 关注私信	suuuuu 19 楼 mark 2022-4-28 17:42 0
fengxu 雪币： 295 活跃值： (506) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 91 粉丝 1 关注私信	fengxu 1 20 楼强 2022-4-29 13:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复