[原创]KPOT窃密木马新变种分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

alexcom

2020-4-9 12:47

4529

KPOT窃密木马新变种分析

概述：KPOT是窃密木马，主要用来盗取系统的各种信息，包括软件，硬件，系统等信息。

本次分析的KPOT的加解密秘钥为“RAfkLTapFMM12wme”。

MD5：a49f082618faf36f0ecd02699708d38e

1.4导入表信息

导入函数就4个，一看就知道使用shellcode手法。

使用shellcode手法获取kernel32.dll模块基地址，进程的默认堆地址，以及进程主线程的LastError值保存地址。

在sub_13058FB函数中，有一个长长的函数获取列表，具体逻辑自己分析，函数名字符串是加过密的，获取这些函数主要有两个目的，一是获取本机的各种信息，二是把获取的信息上传到恶意服务器。

下面是获取的函数列表：

收藏・2

免费・2

支持

最新回复 (6)
Editor 雪币： 26588 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 2 楼感谢分享！ 2020-4-9 14:00 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 3 楼感谢 2020-4-9 18:54 0
mb_ciejkdny 雪币： 114 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_ciejkdny 4 楼感谢分享，谢谢 2020-4-10 00:01 0
RNGorgeous 雪币： 461 活跃值： (287) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	RNGorgeous 7 楼有点短，是这木马太简单了吗 2020-4-20 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

alexcom

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (6)
Editor 雪币： 26588 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 2 楼感谢分享！ 2020-4-9 14:00 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 3 楼感谢 2020-4-9 18:54 0
mb_ciejkdny 雪币： 114 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_ciejkdny 4 楼感谢分享，谢谢 2020-4-10 00:01 0
RNGorgeous 雪币： 461 活跃值： (287) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	RNGorgeous 7 楼有点短，是这木马太简单了吗 2020-4-20 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复