恶意代码分析实战Lab1

0101分析

这里可以查看到时间戳

如上图,使用PEiD可以侦测壳,发现这个DLL和EXE都是无壳的,VC++6.0编译的

接着使用IDA对代码进行简单的静态分析

先分析DLL:

OpenMutex和CreateMutex说明是多客户端

CreateProcess说明在远端的服务器有在本地开启进程的权限

这里可以看到恶意代码服务端的IP地址:127.26.152.13


再分析EXE:

查看Imports表:

CreateFile:在本地创建文件的权限

CopyFile:在本地复制文件的权限

FindFirstFile和FindNextFile:在本地查找文件


注意看清楚:kernel和kerne1!

所以合理猜测:恶意代码的行为可能是,遍历本地所有目录,找到kernel32.dll,并做kerne1.dll的替换,从而控制本地机器。

0102分析

还是一样,先查壳:upx

如何脱UPX壳在这个专栏有,就不重复了


拖壳后用IDA打开,发现:InternetOpenUrl和InternetOpen两个函数

OpenSCManager,函数建立了一个到服务控制管理器的连接,并打开指定的数据库

可见该恶意代码操作了本地去访问一个远程的恶意网站,且可能对本地数据库进行了更改

0103分析

查壳:FSG1.0

脱壳后,IDA打开分析

运行该恶意代码,会自动打开红线所标注的网页(一旦这个网页中含有其他的恶意代码)

0103.exe相当于是个被动攻击跳板,受害者点击该程序,就会跳转到另一个恶意代码地方

0104分析

无壳,用IDA进行下一步分析

wupdmgr.exe是 windows updatemanger 的缩写,是自动升级的程序,存在于c:\windows\system32下,被删除或被重命名后能立即自动生成。

psapi.dll是Windows系统进程状态支持模块。

函数4011FC:

GetWindowsDirectory是一个函数,用以获取Windows目录的完整路径名。

GetTempPath是程序代码,用于获取为临时文件指定的路径。

MoveFile是一种函数,功能是移动文件。

函数4010FC:

GetCurrentProcess是一个函数,返回值Long,当前进程的伪句柄。

OpenProcessToken,函数用来打开与进程相关联的访问令牌。

LookupPrivilegeValue函数查看系统权限的特权值,返回信息到一个LUID结构体里。

AdjustTokenPrivileges是一种函数,用于启用或禁止,指定访问令牌的特权。

函数401000:

ADVAPI.dll导入的函数,表明程序在做一些与权限有关的事情,WinExec和WriteFIle表明程序会写文件到磁盘上,然后执行

urlmon.dll是微软Microsoft对象链接和嵌入相关模块。通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。在正常情况下不建议用户对该类文件(urlmon.dll)进行随意的修改。它的存在对维护计算机系统的稳定具有重要作用。

全部评论

相关推荐

评论
点赞
收藏
分享
牛客网
牛客企业服务