最美情侣中文字幕电影,在线麻豆精品传媒,在线网站高清黄,久久黄色视频

歡迎光臨散文網(wǎng) 會(huì)員登陸 & 注冊(cè)

病毒分析丨一款注入病毒

2023-06-03 15:45 作者:rkvir逆向工程學(xué)院  | 我要投稿

作者丨黑蛋

一、病毒簡(jiǎn)介

SHA256:
de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45
MD5:
6e4b0a001c493f0fcf8c5e9020958f38
SHA1:
bea213f1c932455aee8ff6fde346b1d1960d57ff
云沙箱檢測(cè):


二、環(huán)境準(zhǔn)備

系統(tǒng)

Win7x86Sp1

三、行為監(jiān)控

打開(kāi)火絨劍,打開(kāi)樣本:


可以看到這里釋放了部分隱藏文件,以及進(jìn)行了網(wǎng)絡(luò)鏈接,但是網(wǎng)站關(guān)閉了,沒(méi)有成功:

其次就是入侵了explorer.exe。最后進(jìn)行自我刪除。

四、調(diào)試分析

由于其中有很多需要解密部分,所以這次動(dòng)靜結(jié)合分析。首先在IDA中,打開(kāi)start函數(shù):

這里有IsProcessorFeaturePresent反調(diào)試,直接用OD插件過(guò)掉:

一直走下去,函數(shù)sub_402A10是關(guān)鍵函數(shù)



前面是設(shè)置窗口屬性,對(duì)部分殺軟進(jìn)行遍歷強(qiáng)殺:


跟進(jìn)sub_402190:

繼續(xù)向下走:




繼續(xù)拼接路徑:



接下來(lái)是解密網(wǎng)址:




然后進(jìn)行文件下載,設(shè)置文件屬性,隨后又是一堆路徑的拷貝:

隨后又是網(wǎng)址解密,下載文件,設(shè)置屬性:



繼續(xù)走,走過(guò)一大堆函數(shù)后,來(lái)到標(biāo)記函數(shù):

進(jìn)去:



這里是創(chuàng)建了一個(gè)文件,并進(jìn)行一個(gè)注入操作

注意這里這個(gè)函數(shù):



這里設(shè)置了dll創(chuàng)建時(shí)間=C:\Windows\notepad.exe創(chuàng)建時(shí)間。
在最后,啟動(dòng)了cmd,ping了127.0.0.1并進(jìn)行刪除操作:


隨后看看釋放的dll,進(jìn)入主函數(shù):


第一個(gè)函數(shù)是獲取系統(tǒng)時(shí)間,著重看第二個(gè)函數(shù):

進(jìn)入標(biāo)記函數(shù),他創(chuàng)建了一個(gè)線程,跟進(jìn)回調(diào)函數(shù):

解密了一個(gè)網(wǎng)站,進(jìn)行了訪問(wèn):

函數(shù)1188簡(jiǎn)單的追了一下,猜測(cè)是根據(jù)服務(wù)器返回信息進(jìn)行不同操作

這幾個(gè)函數(shù)沒(méi)有看出是干啥的??傮w思路就這樣。


病毒分析丨一款注入病毒的評(píng)論 (共 條)

分享到微博請(qǐng)遵守國(guó)家法律
西吉县| 盘锦市| 重庆市| 庐江县| 哈密市| 普兰店市| 随州市| 达日县| 禹城市| 格尔木市| 广丰县| 海盐县| 台前县| 英山县| 若羌县| 东乡族自治县| 黑龙江省| 兴隆县| 文水县| 河源市| 赞皇县| 黔西县| 临沂市| 屏边| 象山县| 景宁| 岗巴县| 宾阳县| 桐梓县| 抚州市| 万载县| 南部县| 建瓯市| 方城县| 郁南县| 尼勒克县| 阜康市| 明溪县| 宝兴县| 徐水县| 甘谷县|