首页
社区
课程
招聘
[求助]后门在壳中还是肉中?
发表于: 2009-3-6 10:53 2965

[求助]后门在壳中还是肉中?

2009-3-6 10:53
2965
头一次分析病毒文件,我先用杀毒引擎查了一下,大部分都说有后门木马,而且是nspack加壳的,详情见:
http://www.virustotal.com/zh-cn/analisis/77b465e220de7a4323b428acaa65a735
然后我用一个脱壳工具UnNspack.exe脱了一下壳 ,再用杀毒引擎查了一下,大部分都说正常了,详情见:
http://www.virustotal.com/zh-cn/analisis/ce25558dd8b26ea40482a5b0ddaf3900
那么,这是否意味着,后门代码在壳里呢?
还有,关于分析一个被感染的文件,有什么思路或者套路没有呢?
我第一次分析,希望熟练的人不吝赐教,先行谢过。
权限不够,传不了附件,是一个dll文件。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
2
既然能用脱壳机脱掉,这个壳应该就是nspack,那么不太可能是壳中有后门。

最大的可能是,杀毒软件把壳本身列入了黑名单。

也有可能是加壳后的数据碰巧与某病毒的特征相吻合(不是没有这种可能,虽然可能性极小)

分析方法,用CCL等工具定位一下求脱壳的文件的特征码,如果是在壳的区段里,那就说明杀软把壳作为对象;如果是位于被壳压缩过的加密区段里,那可能是误报。
2009-3-6 11:47
0
雪    币: 191
活跃值: (95)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
看报的名字和导入导出函数像是远程控制类木马,可能是灰鸽子或者PcClient。
不过没有网络函数,也些地方也不是木马风格,也可能是某个获取系统信息类工具的支持DLL。
2009-3-6 16:39
0
游客
登录 | 注册 方可回帖
返回
//