教程參考自《惡意**分析實戰》
程式來自:
本節實驗使用樣本lab11-02.dll和lab11-02.ini。
這個惡意dll匯出了什麼?
檢視匯出函式視窗,發現除了dllentrypoint函式外還有要給installer函式。
使用rundll32.exe安裝這個惡意**後,發生了什麼?
為了使這個惡意**正確安裝,lab11-02.ini必須放置在何處?
檢視dllentrypoint,在**的入口處,會嘗試去讀取系統路徑下的lab11-02.ini檔案,若讀取失敗則直接退出,所以,為了惡意**能正確安裝,lab11-02.ini必須放置在%systemroot%\system32路徑下。
這個安裝的惡意**如何駐留?
這個惡意**採用的使用者態rootkit技術是什麼?
採用的就是inline hook,**如下,首先修改send函式所處的記憶體屬性為rwx,備份send函式的前5位元組,然後將前5位元組修改為jmp [hook func],最後還原記憶體屬性。
如下,是send函式被修改前的前5位元組。
這是修改後的,已經變成了jmp 0x1000113d,這個位址就是掛鉤函式。
掛鉤**做了什麼?
**很簡單,若資料報中有「rcpt to:」字段(郵件格式),就新增多乙個收件人郵箱[email protected],目的就是竊取受害人的郵件。
哪個或者哪些程序執行這個惡意攻擊,為什麼?
惡意**在執行上述惡意操作前,會先檢查自己是否被載入於如下3個郵件程序中:thebat.exe、outlook.exe、msimn.exe,若不是,則不進行惡意操作。
.ini檔案的意義是什麼?
惡意**一開始讀取出.ini檔案的資料是一堆亂碼,很明顯加過密了。
經過0x100010b3函式的解密,我們可以看到剛剛那個字串變成了[email protected],這個應該是黑客的郵箱。到這裡,我們就可以得出結論.ini檔案的作用是儲存被加密後的黑客郵箱。
你怎麼用wireshark動態抓獲這個惡意**的行為?
篩選follow tcp stream
病毒分析教程第七話 程序注入分析(上)
教程參考自 惡意 分析實戰 程式來自 本節實驗使用樣本lab12 01.exe和lab12 01.dll。在你執行惡意 可執行檔案時,會發生什麼?lab12 01.exe呼叫了createremotethread writeprocessmemory等函式,不難想象它進行了程序注入的操作。檢視該病毒...
MBR病毒分析
樣本行為 1 樣本執行後,會直接獲取 physicaldrive0的控制代碼,從第1扇區 偏移為0x0 讀取大小為200位元組的內容寫入到第3扇區 偏移為0x400 中。其目的應該在輸入正確密碼後,重新恢復原有第1扇區的資訊。2 往第1扇區 偏移為0x0 中寫入大小為200位元組的mbr敲詐資訊 即...
病毒分析基礎
提取方式 peid 偵察程式資訊工具 systemsafety monitor ssm 系統監控軟體 filemon 檔案監控 regmon 登錄檔監控 tcpview網路連線監控 smsniff 網路資料監控 wireshark 網路資料採集分析 ollydbg 動態分析工具 ida 靜態分析工具...