该恶意代码存在一个exe可执行文件和一个dll动态链接库,需要分别进行分析
无壳的32位程序,可以直接使用IDA和x32dbg载入。
IDA载入dll程序,查看其字符串和导入,导出函数
dll实现的功能就是与IP为127.26.152.13的主机进行网络通信,并且根据得到的反馈进行相应操作。通信过程比较简单就是利用网络API函数建立相应连接然后发送信息。重要的是接下来如何实现后门操作。这里是根据接受到的字符串来做出相应反馈。
在字符串当中,发现几个比较关键的地方。存在两个Kernel32.dll的地址,但是仔细观察我们会发现其实一个是Kernel32另一个则是Kerne132。到这里我们可以猜到,恶意程序应该是又创建了一个Kerne132.dll替换了原来的kernel32.dll,新的dll实现的功能不仅有原来Kernel32.dll的功能还应该有自带的那个dll的功能。我们可以猜测一下要是实现该功能需要几步:
导入函数有两类是我们现在需要密切关注的:
现在根据之前做出的猜测去找相应的功能。
在命令行输入相应参数运行程序,注意提前在虚拟机当中拍摄快照,使用Procommon检测程序行为,再使用Wireshark进行抓包分析。但是由于该恶意代码可能比较老了,需要在Windowsxp下才能运行,虚拟机为Win10系统,无法正常运行,有兴趣的可以自行尝试,关注的重点还是Procommon当中的文件操作和Wireshark当中目地IP为127.26.152.13的通信。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!