吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.pjihhd.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 2925|回復: 18
上一主題 下一主題

[PC樣本分析] 惡意代碼分析與實戰Lab 9-1分析

[復制鏈接]
跳轉到指定樓層
樓主
0xpojie 發表于 2019-10-9 16:42 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
0x00 說明
萌新一枚,剛開始學病毒分析,學到第九章,明顯感覺到開始比前面的內容要難很多,這個病毒分析了好幾天,分析完后,又感覺不是那么難,收獲很多,所以發個貼,在鼓勵一下自己的同時,總結一下分析過程,第一次發帖,不足之處望大佬們諒解,并能在評論區多多指點我一下,共同學習。
0x01 樣本信息


MD5              b94af4a4d4af6eac81fc135abda1c40c
SHA-1           d6356b2c6f8d29f8626062b5aefb13b7fc744d54
SHA-256       6ac06dfa543dca43327d55a61d0aaed25f3c90cce791e0555e3e306d47107859
File type        Win32 EXE
File size         60 KB (61440 bytes)
PEID              Microsoft Visual C++

0x02 環境與工具


Vmware、win xp、OD、IDA、procmon

0x03 分析

查看病毒字符串


打開procmon,監測病毒程序運行
雙擊運行后發現,程序本身被刪除,在此期間打開了兩個進程,conime.exe和cmd.exe
conime.exe是Windows的一個系統進程,一般伴隨著命令行啟動,路徑在C:\Windows\System32下是控制臺輸入法編輯器相關程序,也有可能是bfghost1.0遠程控制后門程序。
發現程序打開cmd.exe運行命令刪除了自己。

用IDA和OD打開程序進行詳細分析
程序開頭,判斷輸入參數個數是否為1,如果為1會檢查是否已經注冊,不然刪除自身,
經多次調試發現這里的[ebp+Parameter]的值為參數個數加1,因此直接無參運行程序會自我刪除。

如果參數不等于1,比較密碼是否正確,然后根據不同參數來采取不同操作

密碼逆向分析:這個比較簡單

在輸入參數為-cc abcd時打印注冊表配置鍵如下:此時證明惡意代碼服務已經安裝

在服務安裝后,重新打開程序,如果沒有提供任何參數,代碼會執行到402b0c處調用sub_402360如下圖為函數內部:

進入函數sub_402020查看:發現這個函數里面是提供了一個后門程序,進去先檢查注冊表服務,然后比較輸入字符串,來確定接下來要執行的操作
popen函數如果失敗,返回NULL否則返回標準I/O流。

然后判斷sub_401790這個函數里面有三個參數name,v12,v13;動態調試發現name為http://www.practicalmalwareanalysis.com

進入函數內部:
發現將輸入命令發送給目標主機

如果命令為DOWNLOAD,讀取文件,并通過端口發送給目標主機。(產生的行為,與命令不一致)

如果命令為UPLOAD,創建一個文件,將接收過來的信息寫入文件。(行為正好與上一個命令相反)

剩下的sleep就是程序睡眠數秒,nothing什么也不做

0x04 總結


整個流程算是分析完了,發現這個樣本程序通過參數和密碼驗證來安裝自己,安裝成功后是一個后門程序,用來遠程執行執行命令。

免費評分

參與人數 12威望 +1 吾愛幣 +17 熱心值 +12 收起 理由
毛新航 + 1 + 1 熱心回復!
xiaofengzi + 1 + 1 用心討論,共獲提升!
陳ccit + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
hjm666 + 1 + 1 用心討論,共獲提升!
自強 + 1 + 1 用心討論,共獲提升!
LZF520 + 1 + 1 我很贊同!
hiodis + 1 + 1 [email protected]
默生a + 1 用心討論,共獲提升!
lonely_coder + 1 + 1 用心討論,共獲提升!
穌蘭 + 1 + 1 用心討論,共獲提升!
Hmily + 1 + 7 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
gaosld + 1 + 1 用心討論,共獲提升!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
冰露㊣神 發表于 2019-10-9 21:09
無聞無問 發表于 2019-10-9 20:13
i春秋,惡意代碼分析實戰,只是一些基本原理,針對未加殼變形的,像今天這個殼子滿天飛的時代……脫殼才是 ...

師傅,vmp和se也是硬著頭皮剛的嘛
推薦
 樓主| 0xpojie 發表于 2019-10-10 12:57 <
wyp123 發表于 2019-10-9 19:55
我也想知道,你的教程怎么來的,可以分享一下么

自己分析的,有些不太懂的地方參考了書后面的答案,書名《惡意代碼分析實戰》
沙發
Oops!Jeff 發表于 2019-10-9 19:36
3#
wyp123 發表于 2019-10-9 19:55
我也想知道,你的教程怎么來的,可以分享一下么
4#
穌蘭 發表于 2019-10-9 20:11
分析的好詳細,通俗易懂
5#
無聞無問 發表于 2019-10-9 20:13
i春秋,惡意代碼分析實戰,只是一些基本原理,針對未加殼變形的,像今天這個殼子滿天飛的時代……脫殼才是王道啊
7#
cj13888 發表于 2019-10-10 09:35
學習了,我要慢慢領悟慢慢掌握
8#
yiran5875 發表于 2019-10-10 09:56
感謝樓主分享,希望后面再出一個視頻版的學習一下
10#
wyp123 發表于 2019-10-10 13:08
0xpojie 發表于 2019-10-10 12:57
自己分析的,有些不太懂的地方參考了書后面的答案,書名《惡意代碼分析實戰》

好的,謝謝啊,非常感謝
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-12-5 12:57

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
七乐彩50期走势图