随笔分类 -  恶意代码分析实战

摘要：与前三个样本类似，增加了循环 样本分析 阅读全文

摘要：样本信息 与Lab06-01、Lab06-02类似，多出一个函数 字符串信息 导入表信息 样本分析 样本没有太多操作 检查网络连接状态 如果存在网络，访问http://www.practicalmalwareanalysis.com 获取第5个字符 根据返回的第5个字符做不同的操作： 'a'. 创建 阅读全文

摘要：与Lab06-01类似 阅读全文

摘要：样本 该样本只是为了熟悉IDA分支结构，并无恶意代码在里面 main函数 第一个call 另外两个call是printf函数 阅读全文

摘要：样本信息 字符串信息 导出表信息 导入表信息 资源分析 样本分析 导出表有Install字样的三个函数，看看是否是安装dll的函数 无法使用OD的LOADDLL.EXE进行加载。 说明不是有效的PE，无法使用LoadLibrary函数加载这个DLL。只能静态阅读代码了。 dll功能很多 IDA阅读 阅读全文

摘要：样本信息 字符串信息 导入表信息 样本分析 样本运行时检查运行条件： 命令行参数个数是否大于1 如果参数等于1，检查注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS\Configuration 如果以上检查不通过，删除自身 如果命令行参数个数是1，且查询注 阅读全文

摘要：样本信息 字符串信息 导入表信息 资源信息 通过浏览这个资源感觉这个资源里的内容是与0x41异或之后的内容 还原之后是一个PE文件 样本分析 Lab03-03.exe分析 从资源释放出另一个文件，解密后得到一个PE文件 写入位置：C:\Windows\system32\svchost.exe 以挂起 阅读全文

摘要：样本信息 壳信息 无(PEID显示有壳，但其实仅仅是用汇编写的，加入了太多的混淆。) 字符串信息 导入表信息 样本分析 IDA分析 样本有太多的花指令影响静态阅读代码。好在代码不多。花点时间还是能在IDA里分析出来，不过需要结合动态分析。 以行为作为切入点 样本运行后载入的模块情况 样本使用的句柄情 阅读全文

摘要：样本信息 字符串信息 导入表信息 资源信息 资源提取 资源PE信息 资源字符串 资源输入表 样本分析 加载psapi.dll,获取关键函数 遍历所有的进程，查找winlogon.exe 找到后劫持winlogn，将自己提权，给Winlogon.exe创建一个立即执行的远程线程（sfc_os.dll. 阅读全文

摘要：样本信息 壳信息 FSG1.0 脱壳 找到原始OEP 尾部远跳法 ESP定律 push ebx 后设置[ESP]硬件访问断点4个字节 多次触发硬件断点后最终到达OEP 0x401090 插件 使用插件静待到达OEP Dump And Fix 字符串信息 导入表信息 样本分析 查杀思路 这个样本几乎没 阅读全文

摘要：样本信息 壳信息 UPX 脱壳 upx -d -o [目标文件] 字符串信息 导入表信息 样本分析 OD main函数 IDA main函数 sub_401040函数 线程回调函数 sub_00401150 恶意行为 将进程挂到服务上以服务的方式常驻运行 创建互斥量“HGL345” 开启20个线程， 阅读全文

摘要：样本信息 字符串信息 strings 发现一个kerne132.dll与kernel32.dll不同 导入表信息 IDA静态分析 把kernel32.dll的导出表填充到lab01-01.dll的导入表中 将lab01-01.dll拷贝到c:\windows\system32\kerne132.dl 阅读全文