[原创]一个shellcode的样本学习记录-软件逆向-看雪-安全社区|安全招聘|kanxue.com

大河向东流哇

2021-6-2 18:19

10141

一、样本分析

1、c0443397.exe

带数字签名

1、找shellcode入口

virtualprotect的参数：

既然已知会解密这里的内存下一个内存写入断点，如果有写入操作就断下来

跳到shellcode起始位置设置为新的eip

第一个函数进行常规的加载dll，查找函数操作

shellcode中查找loadlibrary

第二个函数中解密第二层shellcode

第二层shellcode中启用新线程加载pe文件

先加载各种dll（user32、kernel32.。。）

使用的技术的进程镂空创建子进程，并将子进程的代码替换为恶意代码。

具体特征：

最后于 2021-6-3 11:20 被大河向东流哇编辑，原因：图片未上传成功

上传的附件：

收藏・1

免费・5

支持

最新回复 (2)
huangyalei 雪币： 25283 活跃值： (4717) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 2 楼图片都不显示 2021-6-2 23:01 0
大河向东流哇雪币： 259 活跃值： (3475) 能力值： ( LV5，RANK：75 ) 在线值：发帖 18 回帖 61 粉丝 36 关注私信	大河向东流哇 3 楼 huangyalei 图片都不显示我靠。。。没注意我补一下 2021-6-3 10:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大河向东流哇

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
huangyalei 雪币： 25283 活跃值： (4717) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 2 楼图片都不显示 2021-6-2 23:01 0
大河向东流哇雪币： 259 活跃值： (3475) 能力值： ( LV5，RANK：75 ) 在线值：发帖 18 回帖 61 粉丝 36 关注私信	大河向东流哇 3 楼 huangyalei 图片都不显示我靠。。。没注意我补一下 2021-6-3 10:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复