-
-
[原创]KPOT窃密木马新变种分析
-
发表于:
2020-4-9 12:47
4528
-
KPOT窃密木马新变种分析
概述:KPOT是窃密木马,主要用来盗取系统的各种信息,包括软件,硬件,系统等信息。
本次分析的KPOT的加解密秘钥为“RAfkLTapFMM12wme”。
MD5:a49f082618faf36f0ecd02699708d38e
1.4导入表信息
导入函数就4个,一看就知道使用shellcode手法。
使用shellcode手法获取kernel32.dll模块基地址,进程的默认堆地址,以及进程主线程的LastError值保存地址。
在sub_13058FB函数中,有一个长长的函数获取列表,具体逻辑自己分析,函数名字符串是加过密的,获取这些函数主要有两个目的,一是获取本机的各种信息,二是把获取的信息上传到恶意服务器。
下面是获取的函数列表:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课