［toc]

  #运行效果

 ##查壳

 ### 静态分析  

 ####基础动态分析

##### 动态分析

运行效果               

    拿到了样本，在虚拟机中运行了一下，结果如下

每隔一段时间就会启动浏览器，访问一个固定的网址。访问的是ｗｏｒｍｖｉｒｏｕｓ这个网址，推测可能是个加载器或者后门，我们打开任务管理器发现找不到进程，恢复快照到虚拟机感染病毒之前的状态，下面开始来分析

查壳

无壳

静态分析

    strings查看字符串

这里看到了sleep函数，源程序应该调用了sleep函数睡眠一个定长时间然后唤醒，这也是为什么网页间隔一段时间弹出来的原因，DeviceIoControl可以通过设备句柄向内核驱动发送数据，CreateFileA表明创建了一个文件，CloseServiceHandle  StartServiceA CreateServiceA  OpenSCManagerA 告诉我们这个程序创建并启动了一个服务，ＯｌｅＵｎｉｎｉｔｉａｌｉｚｅ与ＯｌｅＩｎｉｔｉａｌｉｚｅ表明可能调用了COM库，ＣｏＣｒｅａｔｅＩｎｓｔａｎｃｅ表明可能创建与指定的CLSID关联的类的单个未初始化对象。ＧｅｔＯＥＭＣＰ返回操作系统的当前原始设备制造商的代码页标识符。

在C：＼Winｄｏｗｓ＼Ｓｙｓｔｅｍ３２＼目录下创建了ｖｉｒｏｕｓａｌ．ｓｙｓ文件，下面分析该驱动

IｏＧｅｔＣｕｒｒｅｎｔＰｒｏｃｅｓｓ调用表明这个驱动可能修改正在运行的程序，或者需要该进程的信息。

这里我们看到了网址和驱动安装的目录

ｄｅｐｅｎｄｅｎｃｅｗａｌｋｅｒ可以看到导入函数，我们用ｓｔｒｉｎｇｓ工具已经分析过了，这里可以验证一下

驱动程序

基础动态分析

　　　打开ｐｒｏｃｅｓｓｅｘｐｌｏｒｅｒ运行程序，发现列表中没有ｆｏｒｇｅ进程，和任务浏览器一样，只有浏览器进程，说明用了进程隐藏技术，

ｐｒｏｃｅｓｓｎａｍｅ过滤ｆｏｒｇｅ．ｅｘｅ，ｐｒｏｃｍｏｎ一片空白

动态分析

　　　　因为程序没有在ＷＩｎＤＢＧ和ＯｌｌｙＤｂｇ的进程列表中显示，所以我们也不能附加一个调试器到进程。

　　　将可执行文件载入IDA

这里，从ＯｐｅｎＳＣＭａｎａｇｅｒＡ到ＤｅｖｉｃｅＩｏＣｏｎｔｒｏｌ之间一系列的函数调用，主要是加载和发送请求到内核驱动函数，程序创建了一个叫做Ｐｒｏｃｅｓｓ　Ｈｅｌｐｅｒ的服务，它负责加载内核驱动　C：＼Ｗｉｎｄｏｗｓ＼Ｓｙｓｔｅｍ３２＼ｖｉｒｏｕｓａｌ．ｓｙｓ，然后启动了Ｐｒｏｃｅｓｓ　Ｈｅｌｐｅｒ服务，加载ｖｉｒｏｕｓａｌ．ｓｙｓ到内核并且打开了句柄＼＼．＼ＰｒｏｃＨｅｌｐｅｒ，打开了一个由ＰｒｏｃＨｅｌｐｅｒ驱动创建的内核设备句柄继续往下看

这里是一个COM对象的使用，在分析ｓｔｒｉｎｇｓ的返回结果的时候我们就猜测到了，这里验证了我们的猜想，除此之外，还有一个对ｅｃｘ＋０ｘ２ｃ的调用，

ＤｅｖｉｃｅＩｏＣｏｎｔｒｏｌ将控制代码直接发送到指定的设备驱动程序，使相应的设备执行相应的操作，这里参数ＬｐＯｕｔＢｕｆｆｅｒ和ＬｐＩｎＢｕｆｆｅｒ都为０，意思是这个请求没有发送任何信息到内核驱动，而且内核驱动也没有反馈任何信息，这个ＤｅｖｉｃｅＩｏＣｏｎｔｒｏｌ干嘛了呢

下面初始化了COM，调用ＯｌｅＩｎｉｔｉａｌｉｚｅ和ＣｏＣｒｅａｔｅＩｎｓｔａｎｃｅ获得一个COM对象，返回的ＣＯＭ对象被保存在栈上的一个变量中，IDA将它标识为ｐｐｖ，查看CLSID以及IID判断这个程序使用了COM的什么功能

判断会调用哪个程序，在注册表中查找这个CLSID，这个IID是ＩＷｅｂＢｒｏｗｓｅｒ２，这个CLSID对应Ｉｎｔｅｒｎｅｔ　Ｅｘｐｌｏｒｅｒ

　４０１１０ｆ处ｅａｘ被解引用ｅｃｘ指向这个COM对象的基地址，４０１１１ｅ处，对象中偏移０ｘ２ｃ处的函数被调用，ＩＷｅｂＢｒｏｗｓｅｒ２接口的偏移０ｘ２ｃ处是Ｎａｖｉｇａｔｅ函数，这个函数将Ｉｎｔｅｒｎｅｔ　Ｅｘｐｌｏｒｅｒ的网址导航到ｗｏｒｍｖｉｒｏｕｓ这个网址，之后会睡眠一段时间，然后循环。

将内核文件加载入IDA

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课