-
-
[原创]记录一个样本分析过程
-
发表于: 2020-9-8 12:26
-
查找对应路径下是否有n62.dll:
CrateFile 0x80000000:以写的方式创建文件
将一个可执行文件加载到内存:此时可dump出来单独分析:
解密可执行文件之后dump n62.dll,会遇到一个问题:
流程图中有数据但是f5显示不出来:
这里call了一个异常,解决办法:在对应的机器码的地方将十六进制改成90 90 90:
过来之后直接按下f2,改成90 90 90 90 90:
改好了之后f2保存一下,然后f5刷新:
完成之后,正常显示:
这个病毒有一个特殊导出函数和特殊字符串:DllFuuPgradrs、Cao360yni
通过搜索这两个东西可以在网上查找到相关报告和md5
dump出来之后其实是解密后的n62.dll:
第一个函数是解密函数,解密出来的数据:
其中包含了三个上线地址:
两个端口号:81、9090
上线IP:91.xxx.xxx.xxx
注册服务操作:
关键函数sub_10006A50():
sub_10005940():
sub_100121D0(功能部分):
文件操作:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-9-8 12:31
被大河向东流哇编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
好的 |
