首页
社区
课程
招聘
[原创]KPOT窃密木马新变种分析
发表于: 2020-4-9 12:47 4535

[原创]KPOT窃密木马新变种分析

2020-4-9 12:47
4535

KPOT窃密木马新变种分析

概述:KPOT是窃密木马,主要用来盗取系统的各种信息,包括软件,硬件,系统等信息。

本次分析的KPOT的加解密秘钥为“RAfkLTapFMM12wme”。

MD5:a49f082618faf36f0ecd02699708d38e


1.4导入表信息

导入函数就4个,一看就知道使用shellcode手法。



使用shellcode手法获取kernel32.dll模块基地址,进程的默认堆地址,以及进程主线程的LastError值保存地址。


在sub_13058FB函数中,有一个长长的函数获取列表,具体逻辑自己分析,函数名字符串是加过密的,获取这些函数主要有两个目的,一是获取本机的各种信息,二是把获取的信息上传到恶意服务器。

下面是获取的函数列表:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 2
支持
分享
最新回复 (6)
雪    币: 26245
活跃值: (63297)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
感谢分享!
2020-4-9 14:00
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
感谢
2020-4-9 18:54
0
雪    币: 114
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
感谢分享,谢谢
2020-4-10 00:01
0
雪    币: 461
活跃值: (307)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
7
有点短,是这木马太简单了吗
2020-4-20 17:34
0
游客
登录 | 注册 方可回帖
返回
//