恶意代码分析实战Lab0302

同样先查壳


然后查看字符串

接下来使用IDA进行分析,因为是未加壳的代码,程序功能可以很轻松的通过程序逻辑以及调用的API函数来分析

10003415函数块分析


看到这些关键函数就知道了功能的

首先,InternetOpen,InternetConnect是使用HTTP协议进行互联网的访问操作

HttpOpenRequest,HttpSendRequest是http请求操作,可能是从网站是查询或者下载某些资源

InternelReadFile是从远程URL上读取服务端文件

GetTempPath和GetLongPathName是读取本地的目录路径

fwrite和fflush是往本地文件中写入

所以这个函数的主要功能:从恶意代码链接的网页上读取某个恶意文件,并且将其写入本地指定的某个目录中

有些值是常量字符串也是可以在程序的string列表中找到的,比如:

szVerb = ‘get’,szVersion = ‘HTTP/1.1’


10004317函数块分析:

这里分析下,当a1是大写字母,要减去‘A’,范围就是0 - 25,当a1是小写字母,要减去‘G’,范围就是26 - 51,当a1是数字,要a1 + 4,范围就是52 - 61

这里就可以理解为数字字母与0 - 61的一一对应,作者设计的一种加密解密关系

查看这个函数被其他那些函数调用过

这样可以基本确认,只要涉及到编码解码的时候,都会用到这个函数


10004706函数块分析(Install)

这里的SubKey是这个

这里全是新建注册表键值的操作

既然是DLL,就会有导出的功能,IDA的Exports分析一下

这里就可以使用书上的方法,运行这个dll


然后利用工具:process monitor

发现事件在不断增长,且全部都是与网页相关的访问,不断对注册表进行访问和添加


开启了什么服务确实没有分析出来,从这篇分析报告里找到的思路

http://blog.csdn.net/isinstance/article/details/77839928

全部评论

相关推荐

不愿透露姓名的神秘牛友
07-16 14:00
白火同学:其实你可以了解一下HR在Boss聊天的机制,想赢牌的前提是先会玩牌。 如果HR长时间没有理你,有可能是因为你的消息被其他应聘者的消息给挤到下面了,HR从上到下有可能只看个三四百个人就要到理想数量的简历了,而你恰好没有被看到,时间一长,你的消息在越来越下面。这种情况就需要你自己活跃一下,把消息提上去。 也可能是HR招的合适的人选了,但会一直挂着岗位,为了省重新开招聘岗位的钱,方便后面随时修改招聘要求。 当然也可能是HR吃饱了没事耍你玩,要了你的简历又不看,就看你自己怎么理解了。
点赞 评论 收藏
分享
头顶尖尖的程序员:我也是面了三四次才放平心态的。准备好自我介绍,不一定要背熟,可以记事本写下来读。全程控制语速,所有问题都先思考几秒,不要急着答,不要打断面试官说话。
点赞 评论 收藏
分享
评论
点赞
收藏
分享

创作者周榜

更多
牛客网
牛客网在线编程
牛客网题解
牛客企业服务