病毒分析

最新推荐文章于 2023-01-14 21:55:51 发布
最新推荐文章于 2023-01-14 21:55:51 发布
阅读量781 收藏 1
点赞数
分类专栏: 逆向 文章标签: 病毒 技术 木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aap159951/article/details/52609029
版权

一.病毒:
名称: SBQQ.Exe
病毒大小:66.6kb
病毒类型: 木马
受影响系统: Win9x / WinNT
二.病毒简介
该病毒通过安装钩子过程来获取qq的账号并通过网站提交的方式发送出去
三.技术特点:
1创建_xr.bat这个文件:完成删除自己的功能;
2创建并加载C:“C:“Program Files“Sysinfo.wmp这个dll文件
3添加注册表C:“Program Files“SysInfo.wmpC:“Program Files“SysInfo.wmp,注册ID为
3.删除注册表HKEY_CLASSES_ROOT“CLSID““InProcServer32项
4.删除VerCLSID.bak这个文件
五.分析过程
这是一个木马生成器生成的一个木马病毒程序,没有加壳,查看调用api都是一般木马病毒程序所调用的
关键api有 CreateFileA,ReadFile,DeleteFileA,GetFileType,GetKeyboardType,GetProcAddress,LoadLibraryA
MoveFileExA,RegCreateKeyExA,ShellExecuteA,VirtualAlloc
不多说直接下CreateFile等相关api断点来到这里:
004028D8 . 6A 00 push 0 ; /hTemplateFile = NULL
004028DA . 68 80000000 push 80 ; Attributes = NORMAL
004028DF . 51 push ecx ; Mode
004028E0 . 6A 00 push 0 ; pSecurity = NULL
004028E2 . 52 push edx ; ShareMode
004028E3 . 50 push eax ; Access
004028E4 . 8D46 48 lea eax,dword ptr ds:[esi+48] ;
004028E7 . 50 push eax ; FileName
004028E8 . E8 1BE7FFFF call jmp.kernel32.CreateFileA ; “CreateFileA
创建_xr.bat这个文件:
00404B0A . E8 39EFFFFF call SBQQ.00403A48
00404B0F . E8 14E2FFFF call SBQQ.00402D28
00404B14 . E8 63DAFFFF call SBQQ.0040257C
00404B19 . 68 204C4000 push SBQQ.00404C20 ; ASCII if exist
00404B1E . 8D95 18FEFFFF lea edx,dword ptr ss:[ebp-1E8]
00404B24 . 33C0 xor eax,eax
00404B26 . E8 ADDBFFFF call SBQQ.004026D8
00404B2B . FFB5 18FEFFFF push dword ptr ss:[ebp-1E8]
00404B31 . 68 144C4000 push SBQQ.00404C14
00404B36 . 68 344C4000 push SBQQ.00404C34 ; ASCII goto try
00404B3B . 8D85 1CFEFFFF lea eax,dword ptr ss:[ebp-1E4]
00404B41 . BA 04000000 mov edx,4
00404B46 . E8 C1ECFFFF call SBQQ.0040380C
00404B4B . 8B95 1CFEFFFF mov edx,dword ptr ss:[ebp-1E4]
00404B51 . 8D85 30FEFFFF lea eax,dword ptr ss:[ebp-1D0]
00404B57 . E8 ECEEFFFF call SBQQ.00403A48
00404B5C . E8 C7E1FFFF call SBQQ.00402D28
00404B61 . E8 16DAFFFF call SBQQ.0040257C
00404B66 . BA 484C4000 mov edx,SBQQ.00404C48&nb

aap159951
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析整体思路
include_voidmain的博客
11-15 1203
对于病毒分析,其实比拼的就是windows api的理解还有足够的信心和耐心,需要一个很长久的一个时间去磨一个病毒文件,否则这个病毒想做什么,你可能是一直都不知道的,只要耐心的去看,去磨,去查,慢慢的就自己能看懂了,做好标记,因为有很多时候,都有防止你破解的动作,比如加壳,花指令,混淆等,但是这里没有,以后会碰到。这是整个静态调试的大题,但是静态调试有一些东西是看不出来的,所以要进行一次动态调试,由于这个有个验证网站的限制,导致病毒是运行不起来的,所以我们可以在前面看一下内存转储看一下。
病毒分析流程总结
auriel的博客
04-27 6418
前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。                 一、在一个已经感染了病毒的机器上如何找到病毒文件?                找到
病毒分析--WannaCry分析--1
cyynid的博客
01-14 2480
分析监控的日志以及自行观察操作之后,可以分析出样本的恶意行为:自我复制样本到C盘:C:\ProgramData目录下,启动C:\ProgramData\@WanaDecryptor@.exe(即病毒程序)释放了并运行了taskeche.exe程序3.在程序目录下创建@Please_Read_Me@.txt、@WanaDecryptor@.exe以及.WNCRY文件4.在C:\ProgramData目录下创建xxx文件夹(文件名随机)5。
简单病毒分析及手工查杀
m1287578441的博客
06-08 1648
简单病毒分析及手工查杀
典型病毒分析
01-18
【标题】:“典型病毒分析” 在信息技术领域,网络病毒是一个重要的议题,因为它对个人和企业的数据安全构成严重威胁。深入理解网络病毒的本质、工作原理以及如何进行分析是防范和应对这些威胁的关键步骤。 网络...
Wannacry病毒分析报告.docx
08-23
Wannacry病毒分析报告 Wannacry病毒是一种恶意软件,于2017年五月爆发,感染了全球数十万台计算机,造成了严重的网络安全威胁。根据本报告,Wannacry病毒分析结果如下: 样本概况 Wannacry病毒的样本信息包括...
xiongmao-病毒分析报告.docx
08-23
xiongmao 病毒分析报告 以下是根据给定文件生成的相关知识点: 病毒分析报告 病毒分析报告是信息安全领域中的一种重要报告,旨在对恶意软件进行深入分析,了解其行为、特征和危害,以便更好地防御和清除病毒。 ...
计算机病毒分析
09-02
计算机病毒分析
使用Process Monitor对病毒进行行为分析
weixin_43742894的博客
05-04 3726
使用火绒剑/Procss Moniter对病毒进行行为分析。 Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。 实验环境及工具 win7 x86 Process Monitor(因为火绒剑在病毒运行后打不开窗口) 行为分析 第一步:运行“”熊猫烧香,并进行监控 使用过滤器,对PID 2724...
计算机病毒分析师必看书籍
03-02
计算机病毒 病毒分析 蠕虫分析 病毒概念 病毒解析 中国式病毒 源码
各种病毒分析
04-06
本文介绍Dropper.Win32.Agent.bd病毒资料及清除方法。
PracticalMalwareAnalysisAndLabs (病毒分析入门,包含实验环境)
11-09
PracticalMalwareAnalysis 一本入门的病毒分析丛书,而且压缩包内还包含了实验所需的所有环境,可以帮你从小白开始成长起来
病毒工具-火绒剑
KD的疯狂实验室
08-05 1万+
这是一款由杀软公司支持的AntiRootkit,行之有效的监视记录功能使其成为手工分析样本的利器.作为火绒(杀软)的可选组件提供给用户. ......你想判断一款程序是否是恶意程序?你想要了解自己电脑的安全状况?选择它准没错
病毒分析工具和使用方法(一)
热门推荐
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
病毒分析的一些小总结
richard1230的博客
04-10 1141
之前在分析一个office2003的一个恶意代码样本,先总结一下分析病毒行为的一些若干套路:(之前都没有注意) 1.首先打开Word这个进程 2.然后再开启这个进程的进程树: 3.开启监控,并过滤掉相关行为动作: 4.将恶意代码样本拖进至已经打开的这个Word进程: 然后就可以发现它的一系列行为: 然后就发现了它的恶意行为,发现其释放了一个exe,why? 因...
一个简短的android病毒分析
oMartin1的专栏
07-07 792
由于智能手机的普及,手机病毒逐渐走上前台,病毒的地下产业链也逐渐注意到这一块。总体来说,目前的手机病毒不像PC病毒那样(初期的pc病毒主要是为了显示黑客的个人能力)。手机病毒的初衷很简单,主要是为了窃取隐私和获取经济利益。       下面就简单的介绍一个android平台上手机病毒分析的大体流程,首先我们经常用到的两款工具是apktool和jd-gui,这两款工具是分析的利器。      当
Morto蠕虫病毒分析报告
信息安全
10-31 4384
文章目录样本信息病毒现场复现分析过程Loader部分Payload部分病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb 病毒现场复现 因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个是伪装成txt的病毒dll文件,另一个是写入注册表的payload 首先将md.reg...
Android病毒样本分析(1)
ireader135的博客
03-23 1963
1.基本信息 病毒名称: 1.apk 文件名称: 建设控件 文件MD5: 5B22058C7632AA3211987B1ABDD8E3D0 文件包名: tk.jianmo.study 数字签名:O=1_sign.apk   2.基本行为 程序启动后直接进入锁屏界面,开机自启动,按键无响应 3.详细分析 1.  通过改写onKeyDown方法,屏蔽
计算机病毒分析防范技术整版本.ppt
最新发布
04-22
"计算机病毒分析防范技术整版本.ppt" 计算机病毒是计算机科学中的一个重要话题,它涉及到网络安全和个人数据安全。计算机病毒是一种恶意软件,其设计目的是自我复制并传播到其他程序,破坏计算机系统的正常运行,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值