-
-
[原创]小萌新的第一次恶意软件分析(练习题)
-
发表于:
2020-2-13 20:47
5501
-
小萌新的第一次恶意软件分析(练习题)
lixu
2020年2月13日 20:28:44
样本名称:Lab13-01.exe
MD5: A9A2734D080E3AE0F5ADA35E878DA7C8
SHA1: E8AACB0990E9F3A415AC7D5E24E7F7287665C110
测试工具:虚拟机,火绒剑,IDA,OD,Resource Hacker
1. 当拿到一个一个恶意程序的时候首先就是进行网上的查毒,看看有没有哪个兄弟可以识别出来。Virus看看已经被大家玩烂了,但是可以知道这东西没壳,VC编写的一个win32程序,知道这些也就足够了。群里面也说就是一个练习用的小程序。
2. 然后进入虚拟机(系统win xp ,里面有火绒剑,OD,)IDA因为是静态分析,所以就在本机。
先看看资源是啥样子:哦吼是一堆乱码,先不管。
因为考虑到软件的危险性所以我们先简单的静态分析一波看看他的函数列表,看看字符串列表。分析主函数和其它子函数。猜测可能的行为。
进入IDA首先我们现在看一下函数列表:
main函数:首先进行了WSAStartup函数的调用(WSAStartup函数加载套接字库,因为我们以后想要用到的一些网络函数,就必须加载它,还有就是确定TCP/IP的版本),由此可见这玩意要使用网络呀。然后判断零标志位的状态,决定是结束网络初始化还是进入循环。当进入循环后它call了一个sleep歇了会,然后调用了以一个函数sub_4011C9(根据函数 列表可以知道在这个函数里面还调用了GethostName函数取到了我们的主机名),然后判断零标志位的状态,决定是继续循环还是跳出循环。
Sub_401000函数的c语言伪代码:传了三个参数,进行了一堆算法运算,返回运算值猜测是加密函数。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-2-14 10:13
被一个小萌新编辑
,原因: 上一个帖子图片加载不出来