-
-
[原创]恶意代码分析实战Chapter1
-
发表于: 2018-12-24 23:22
-
Lab01.exe
这里先分析Lab01-01_exe
这里由于内存访问违规,崩溃了,我也懒得修改拷贝数据大小,就这样分析吧
接下来就劫持C盘中的exe的导入kernel32.dll 为 kerne132.dll(数字1)
修改所有exe中导入表的kernel32.dll的名称为kerne132.dll(数字1),这样下次任意程序执行的时候都会加载恶意的dll
接下里分析Lab01-01.dll, dll就是一个命令执行的
继续分析lab01-02.exe, 使用了upx3.04加壳
使用upx工具或者转到OEP之后dump就行了
分析dump的程序
在main函数中,注册一个MalService的服务,sub_401040为服务函数
向系统注册服务,并且创建线程,调用网络函数,访问恶意链接
删除服务
Cmd:sc delete Malservice
Powershell: $mal = Get-WmiObject -Class WIN32_Service -Filter “Name=’Malservice’”
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
3d5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6t1j5h3c8J5k6i4W2K6L8q4)9J5c8W2)9J5k6q4)9J5c8Y4c8J5k6h3g2Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6b7M7X3q4U0N6r3W2U0j5h3I4Q4x3U0f1J5x3p5#2S2L8s2N6S2M7X3g2Q4x3U0f1J5x3p5q4F1j5h3I4&6M7$3W2K6i4K6t1#2x3U0m8x3j5h3u0K6i4K6u0r3b7X3W2F1j5i4u0&6b7$3!0D9L8r3g2U0N6r3W2G2L8R3`.`. |
|
|
|
|
|
|
|
|
上面那个github链接 |
