-
-
[原创]小萌新的第二次恶意软件分析(练习题)
-
发表于:
2020-2-15 17:07
4710
-
小萌新的第二次恶意软件分析
lixu
2020年2月15日 16:37:50
样本信息:
病毒名称:Lab13-02.exe
MD5: B65C4D7CBC4069DDBFF665370201E588
SHA1: 0184ACEB64037DCDADDE0A5975041304C92119A8
1. 第一步进行网上的病毒查验,因为是群里共享的所以很显然,它也被玩烂了,看的出来也是一个VC编写的win32程序,无壳。
2. 然后进入虚拟机(系统win xp ,里面有火绒剑,OD,)IDA因为是静态分析,所以就在本机。先看看资源是啥样子:偶吼,里面啥也没有,挺好。
2.1 因为考虑到软件的危险性所以我们先简单的静态分析一波看看他的函数列表,看看字符串列表。分析主函数和其它子函数。猜测可能的行为。
进入IDA首先我们现在看一下函数列表:
首先是main函数。很显然这个主函数比较简单,先进行5秒的休息,然后调用sub_401851函数,然后又睡了5秒,判断eax很显然这是一个死循环。
sub_401851函数:在这个函数中首先调用sub_401070函数可能进行一个数据的处理(怀疑是加密之类的),再调用sub_40181F进行数据的类型转换或者转存的操作,然后获取一个开机毫秒数,用sprintf数据格式化拼接存储,再调用sub_401000函数进行数据的处理,GlobalUnlock函数解除锁定的内存块,使指向该内存块的指针无效,猜测上面用了哪块内存。GlobalFree函数是释放指定的全局内存块。在调用了这个函数以后,hMem 句柄就不再有效。
sub_401070函数;一看,我咧个去,这么多get函数不用看,一般就是获取句柄啥的,
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-2-16 11:38
被一个小萌新编辑
,原因: 上一个帖子图片加载不出来