-
-
[原创]小萌新的第二次恶意软件分析(练习题)
-
发表于: 2020-2-15 17:07
-
小萌新的第二次恶意软件分析
lixu
2020年2月15日 16:37:50
样本信息:
病毒名称:Lab13-02.exe
MD5: B65C4D7CBC4069DDBFF665370201E588
SHA1: 0184ACEB64037DCDADDE0A5975041304C92119A8
1. 第一步进行网上的病毒查验,因为是群里共享的所以很显然,它也被玩烂了,看的出来也是一个VC编写的win32程序,无壳。
2. 然后进入虚拟机(系统win xp ,里面有火绒剑,OD,)IDA因为是静态分析,所以就在本机。先看看资源是啥样子:偶吼,里面啥也没有,挺好。
2.1 因为考虑到软件的危险性所以我们先简单的静态分析一波看看他的函数列表,看看字符串列表。分析主函数和其它子函数。猜测可能的行为。
进入IDA首先我们现在看一下函数列表:
首先是main函数。很显然这个主函数比较简单,先进行5秒的休息,然后调用sub_401851函数,然后又睡了5秒,判断eax很显然这是一个死循环。
sub_401851函数:在这个函数中首先调用sub_401070函数可能进行一个数据的处理(怀疑是加密之类的),再调用sub_40181F进行数据的类型转换或者转存的操作,然后获取一个开机毫秒数,用sprintf数据格式化拼接存储,再调用sub_401000函数进行数据的处理,GlobalUnlock函数解除锁定的内存块,使指向该内存块的指针无效,猜测上面用了哪块内存。GlobalFree函数是释放指定的全局内存块。在调用了这个函数以后,hMem 句柄就不再有效。
sub_401070函数;一看,我咧个去,这么多get函数不用看,一般就是获取句柄啥的,
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
意思是发帖的时候,调整了一下图片大小,再提交,图片就丢失了? 你重新帖一下,可以直接用截图软件,剪切复制的形式把图帖上来。
最后于 2020-2-15 20:07
被kanxue编辑
,原因:
|
|
|
大佬 我也不知道为啥,最近两次就是这样,发的时候都好着呢,你们查看的时候就丢失了,是不是服务器出啥问题了?而且我也私信不了你,我切换到论坛页面就是登陆状态,切换到首页就没有登陆,而且也登陆不了,还想请教问题呢! |
|
|
麻烦大家顶贴一下,让大佬看到,谢谢!!!你们的支持就是萌新我逆向道路的前进力量。一giao我里 giao giao |
|
|
将你的QQ邮件我,我加你了解下登陆情况: kanxue@pediy.com |
|
|
邮件已经发送给您,希望查阅!!! 
|
