首页
社区
课程
招聘
[原创]记录一个样本分析过程
发表于: 2020-9-8 12:26 4338

[原创]记录一个样本分析过程

2020-9-8 12:26
4338

查找对应路径下是否有n62.dll:

CrateFile 0x80000000:以写的方式创建文件

将一个可执行文件加载到内存:此时可dump出来单独分析:

解密可执行文件之后dump n62.dll,会遇到一个问题:
流程图中有数据但是f5显示不出来:

这里call了一个异常,解决办法:在对应的机器码的地方将十六进制改成90 90 90:

过来之后直接按下f2,改成90 90 90 90 90:


改好了之后f2保存一下,然后f5刷新:

完成之后,正常显示:

这个病毒有一个特殊导出函数和特殊字符串:DllFuuPgradrs、Cao360yni
通过搜索这两个东西可以在网上查找到相关报告和md5

dump出来之后其实是解密后的n62.dll:

第一个函数是解密函数,解密出来的数据:

其中包含了三个上线地址:

两个端口号:81、9090
上线IP:91.xxx.xxx.xxx

注册服务操作:

关键函数sub_10006A50():
图片描述

图片描述
sub_10005940():
图片描述

图片描述
sub_100121D0(功能部分):
图片描述
图片描述

文件操作:
图片描述


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2020-9-8 12:31 被大河向东流哇编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (4)
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
666
2020-9-8 16:14
0
雪    币: 47147
活跃值: (20415)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
3
建议样本加个密码,上传论坛一份。
2020-9-8 19:09
0
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
坛主???
2020-9-8 19:15
0
雪    币: 259
活跃值: (3475)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
5
kanxue 建议样本加个密码,上传论坛一份。
好的
2020-9-9 16:46
0
游客
登录 | 注册 方可回帖
返回
//