这是一个修改过的nsis邮箱附件后门恶意文件 如上图,该病毒第一次启动与自己调用自己时加载了两套不同的dll。但是在OD与IDA中只有第一次启动的相关dll加载与实现代码,没找到任何与第二个线程相关的代码与调用。。。
请问这种情况该怎么做才能找到第二个线程中恶意行为的代码?
微步沙箱:https://s.threatbook.cn/report/file/7a10e05153d92d93e2373c0bdd2b5858b46a8af5d066f2af38fde512f1fdd529/?env=win7_sp1_enx86_office2013
VT:https://www.virustotal.com/gui/file/7a10e05153d92d93e2373c0bdd2b5858b46a8af5d066f2af38fde512f1fdd529/detection
恶意文件已压缩后放在在附件内。无后缀,不会自启动。可用7Z解包
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
可以网上找一下nsis脚本还原的相关资料,你这个样本脚本还原之后关键代码我帮你贴上来了,可以参考下
Function .onInit SetOutPath $INSTDIR File $INSTDIR\yrcvb.dll File $INSTDIR\ftfhpv.lko System::Call $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\") ; Call Initialize_____Plugins ; SetOverwrite off ; File $PLUGINSDIR\System.dll ; SetDetailsPrint lastused ; Push $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\") ; CallInstDLL $PLUGINSDIR\System.dll Call RMDir $INSTDIR RMDir $INSTDIR\data RMDir /r /REBOOTOK $INSTDIR RMDir /REBOOTOK $INSTDIR\DLLs FunctionEnd
脚本安装时使用的yrcvb.dll和ftfhpv.lko都可以直接通过7z解压该文件找到,你在微步沙箱中看到的system.dll可以在$PLUGINSDIR文件夹内找到
顾何 可以网上找一下nsis脚本还原的相关资料,你这个样本脚本还原之后关键代码我帮你贴上来了,可以参考下Function .onInit SetO ...
这些我不是已经贴在主楼了吗。。。我想知道的是第二个进程里恶意行为代码的位置这病毒只读了那个加密的二进制文件,其他都是混淆因为nsis安装包是改过的,所以如果找不到操作位置没法解密这个二进制文件
我的意思是用静态或者动态分析的方法,该怎么找到这个病毒的恶意行为?