小萌新的第一次恶意软件分析（练习题）

lixu

2020年2月13日 20:28:44

样本名称：Lab13-01.exe

MD5: A9A2734D080E3AE0F5ADA35E878DA7C8 

SHA1: E8AACB0990E9F3A415AC7D5E24E7F7287665C110

测试工具：虚拟机，火绒剑，IDA，OD，Resource Hacker

1. 当拿到一个一个恶意程序的时候首先就是进行网上的查毒，看看有没有哪个兄弟可以识别出来。Virus看看已经被大家玩烂了，但是可以知道这东西没壳，VC编写的一个win32程序，知道这些也就足够了。群里面也说就是一个练习用的小程序。

2. 然后进入虚拟机（系统win xp ,里面有火绒剑，OD，）IDA因为是静态分析，所以就在本机。

先看看资源是啥样子：哦吼是一堆乱码，先不管。

因为考虑到软件的危险性所以我们先简单的静态分析一波看看他的函数列表，看看字符串列表。分析主函数和其它子函数。猜测可能的行为。

进入IDA首先我们现在看一下函数列表：

main函数：首先进行了WSAStartup函数的调用(WSAStartup函数加载套接字库，因为我们以后想要用到的一些网络函数，就必须加载它，还有就是确定TCP/IP的版本)，由此可见这玩意要使用网络呀。然后判断零标志位的状态，决定是结束网络初始化还是进入循环。当进入循环后它call了一个sleep歇了会，然后调用了以一个函数sub_4011C9（根据函数 列表可以知道在这个函数里面还调用了GethostName函数取到了我们的主机名）,然后判断零标志位的状态，决定是继续循环还是跳出循环。

Sub_401000函数的c语言伪代码：传了三个参数，进行了一堆算法运算，返回运算值猜测是加密函数。

Sub_4010B1函数的伪代码:传入了两个参数，并调用了sub_401000函数，由此可见上一个加密函数是这个函数的子函数，猜测出这个也是一个加密函数。

sub_401190；也是传入两个参数，然后是一个for循环，猜测可能是解密的函数：

sub_4011C9:使用了好多网络相关的函数，猜测进行网络操作，注意ebp+buffer,猜测存放下载的数据啥的，然后进行判断是不是自己想要的，是的话就将al置1，不是的话进行异或置零；

Sub_401300函数：是一个对资源进行操作的函数，里面都是对资源的查找，加载，取指针等操作，很明显就是一个程序初始化的函数，在main函数里可以找到而且它调用了401190这个函数，很显然就是对加载的资源进行解密，因为我们在资源查看器中看到的是一堆乱码。

3. 打开火绒剑来监测进程，运行程序，一两分钟后，我们的桌面啥的并没有明显变化，进入火剑查看监控的内容，其他的看不出异常，但是很明显，他在进行网络通信，访问了图中的网址，我觉得肯定做了见不得人的勾当。

4. 进入OD开始进行动态分析，依据静态分析我们已经知道了main函数的位置和大概的流程，

4.1 从main函数可以得知sub_4011C9是主函数，进行主要操作，

4.2 执行到加密函数就是将我们获取的机器名进行加密，然后将从资源读取的解密完的数据进行字符串拼接。很显然它变成了我们在火绒网络监控里看到的网址。然后后面就进行网络通信获取他想要的数据。到这里注意观察堆栈窗口。

5. 总结：这个程序先将自己的资源读取出来进行解密作为网址的一部分，然后将我们计算机名前12个字符进行加密作为网址第二部分，然后进行网络访问，接收到远端服务器的返回数据，来进行判断是否结束进程。总的来说也不难可以作为入门挑战。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。