-
-
[原创]一个shellcode的样本学习记录
-
2021-6-2 18:19
9259
-
一、样本分析
1、c0443397.exe
带数字签名
1、找shellcode入口
virtualprotect的参数:
BOOL VirtualProtect(
LPVOID lpAddress, // 目标地址起始位置
DWORD dwSize, // 大小
DWORD flNewProtect, // 请求的保护方式
PDWORD lpflOldProtect // 保存老的保护方式
);
既然已知会解密这里的内存 下一个内存写入断点,如果有写入操作就断下来
跳到shellcode起始位置设置为新的eip
第一个函数进行常规的加载dll,查找函数操作
shellcode中查找loadlibrary
第二个函数中解密第二层shellcode
第二层shellcode中启用新线程加载pe文件
先加载各种dll(user32、kernel32.。。)
使用的技术的进程镂空创建子进程,并将子进程的代码替换为恶意代码。
具体特征:
(【安全通告】间谍软件再进化,利用“进程镂空”技术逃避杀软检测_信息 (sohu.com))
因为他是另起一个进程注入pe执行,因此将pedump下来分析。
在pe中。。。
创建一个名为“serhershesrhsfesrf”的互斥体
语言检测,遇到俄语、等就不执行恶意行为
下载文件到c盘目录下
url:http://api.ipify.org/?format=xml
下载文件kaosdms.txt 里面存了一个IP
从注册表中获取Windows序列号
获取浏览器登录数据、浏览器cookie、web数据
附件解压码:123
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2021-6-3 11:20
被大河向东流哇编辑
,原因: 图片未上传成功