病毒分析
1行
安全搬砖工
展开
-
BuleHero 蠕虫分析
文章目录前言执行过程详细分析火绒剑分析IDA关键词分析Wireshark抓包漏洞利用CVE-2017-12615 漏洞利用CVE-2017-5638 漏洞利用CVE-2018-2628 漏洞利用CNVD-2018-24942 漏洞利用CVE-2019-2725 漏洞利用CVE-2018-7600 漏洞利用CVE-2019-0193 漏洞利用PHPStudy后门总结前言原先也没分析过蠕虫的样本,冲浪的时候看到了关于BuleHero蠕虫的介绍,感觉蛮有意思的,分析分析。执行过程详细分析主体文件使用u原创 2020-07-17 18:04:35 · 818 阅读 · 1 评论 -
俄罗斯套娃式的.net样本分析
文章目录前言描述.net分析静态查看原始文件调试解密DLL调试解密.net文件分析PE文件分析总结前言原来没有分析过.net的恶意程序,偶然发现了一个使用了Agent Tesla间谍软件生成的木马,看到有不少分析的文章了,就自己分析一下,记录一下分析过程。描述原始文件是由c#编写的,内部包含两个资源,一个是图片,另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务,并解密出来一个PE文件来执行窃密操作。.原创 2020-07-17 10:29:13 · 433 阅读 · 1 评论 -
一個有趣的白加黑样本分析
文章目录前言文件前期整理分析执行流程分析HD_Comm.dllAu.exeConfig.dat 分析导出函数 wow_helper导出函数 UserServicedllhost.exe总结前言偶然找到一个白加黑的样本,尝试进行分析,看看是如何运行的。先放个自己做的样本的流程图吧。文件前期整理分析文件夹内有3个文件,前两个是隐藏文件,而且虚假后缀为 .bmp 的文件类型是快捷方式,所以判断这几个文件应该是有猫腻的。使用 HIEW 对截图.bmp文件进行查看,发现它会调用 rundll32.e原创 2020-07-15 19:29:21 · 1011 阅读 · 0 评论 -
宏病毒混淆分析
前言很早之前就说要分析宏病毒,一直没机会,现在终于有空闲时间来分析一个混淆的比较厉害的宏病毒了。静态分析分析宏病毒时,可以利用 oledump.py 来将宏代码提取出来再进行分析。使用命令 python oledump.py 文件名,即可查看文件流信息。下图中的 M 表示该段中有宏代码。python oledump.py -s 8 -v 11.dat >1.txt 可以将8段...原创 2020-03-05 17:44:01 · 841 阅读 · 0 评论 -
lpk.dll劫持
文章目录iosguk.exe样本信息PEID 分析火绒剑分析执行监控文件监控服务监控网络监控注册表快照分析IDA 分析WinMain 函数CreateService_0 函数sub_404A63 主函数sub_402B7F 感染共享文件夹sub_40287A 函数sub_404658 网络发包HttpGet 函数sub_4035A3 网络发包hra33.dllIDA 分析DLLEntryPoint...原创 2019-07-24 16:32:40 · 949 阅读 · 0 评论