-
-
[原创]恶意代码实战分析课后习题
-
发表于: 2018-12-19 14:20
-
恶意代码实战分析·打怪升级...(直接从Lab01-02开始)
一、文件上传到688K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4@1f1@1i4@1t1^5i4K6S2m8i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1^5i4@1p5I4i4K6S2o6i4@1f1#2i4K6R3^5i4K6R3$3i4@1f1$3i4K6W2q4i4K6V1H3i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1$3i4K6W2r3i4@1p5#2i4@1f1%4i4K6W2o6i4K6S2n7i4@1f1$3i4K6S2m8i4@1p5#2i4@1f1#2i4K6V1I4i4K6S2m8i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1#2i4K6S2r3i4K6S2m8i4@1f1%4i4K6V1%4i4K6R3#2i4@1f1$3i4@1q4r3i4K6V1J5i4@1f1%4i4K6R3&6i4@1t1&6i4@1f1#2i4@1u0q4i4K6R3I4
网站上分析的效果很明显;
二、查看是否有混淆或者加壳迹象
LoadLibraryA函数:
加载由参数 LibFileName 指定的 DLL 文件。
GetProcAddress函数:
检索指定的动态链接库(DLL)中的输出库函数地址
以上的两个函数是加壳的关键函数
虽然PEid的红圈部分显示“什么也没有找到”。但是上面的EP段显示是“UPX1”,疑似是UPX加壳了;(脱壳之后才可以继续分析)
将文件放到PEview上,可以看到也许这个文件就是UPX加壳了!
放到OD上准备手动脱壳。目测使用ESP定律脱壳就可以脱掉:因为我这种防范也是在网上看大神的技术总结,所以我这脱壳就说明的言简意赅了。不过也会说明流程和思路。因为不光是为了其他人的参考也是自己的技术回顾。
首先,第一步F8到一行汇编,观察右边ESP寄存器变红即可。之后第二步点击下面EIP进行ESP回调操作。之后再下面的做ESP 0012FF6c 的硬件断点:dd 0012FF6C。此的硬件断点如下图操作:
之后到达 F9 到达另一端:
继续往下走的时候,再JMP处跳转,到达 OEP.
之后再进行 OD 的脱壳即可;
三、有没有任何的导入函数暗示程序功能,如果有,有哪些?那些函数是什么功能?
脱壳之后的程序再拖到工具查看:
CreateServiceA函数:创建服务
OpenSCManagerA函数:
:建立一个连接到服务控制管理器并打开它的数据库。
StartServiceCtrlDispatcherA函数:也是关于服务的,具体参考在585K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9r3W2V1j5h3!0Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4q4#2k6i4y4@1K9h3!0F1i4K6u0r3z5e0f1J5y4U0l9%4x3K6y4Q4x3X3g2Z5N6r3#2D9
这些函数的大概作用有定时器,获取指定进程,获取计算机时间计时
他也可以访问网络服务器,
通过一个完整的FTP,Gopher或HTTP网址打开一个资源。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
