lab15-01
在每一个跳转地址前面都有一个E8,把他标识为数据,程序就出来了
第一个比较,要求命令行参数是两个,其中一个是程序名
接着是取出第二个参数的第一个字节作比较,可以知道参数是pdq
lab15-02
修正过程中就两个地方注意一下,其他的都跟第一题一个手法
第一个是如下图,原来是个jmp语句跳到FF开始执行,也就是另一种翻译做inc和dec,所以这一段其实没有意义,选择翻译成第二个图就好,只要知道之前语句执行后,相当于直接执行dec之后的call语句
第二个地方像正常执行到jz,跳转到下一个图,你会发现,变样了,直接到loc_4012EF执行shellExecute函数,所以这一段代码,你可以认为他只是调用了shellExecute函数而已
你会看到程序gethostname得到主机名字
然后对这个名字操作得到user-agent
对于字符串里面的Z转化为A z变为a 9变为0,其他全部只加1来得到user-agent
url由函数sub_401386得到,进入程序就职到url是啥呢http://www.practicalmalwareanalysis.com/bamboo.html
然后读取html,查找Bamboo::xxxxx::字符串之间的字符串被保留下来作为新的url
sub_40130F得到AccountSummary.xls.exe字符串
然后新的url是原先读取的偏移8字节开始的字符串,重新InternetOpenUrl并且读取数据到ebp-102AC
然后打开AccountSummary.xls.exe文件,将读取的信息写入,接着shellexecute运行这个exe文件
多说一句,将所以多余的代码变为0x90,然后按c汇编为nop之后选中main函数全部代码按p就可以得到局部变量等东西了,换句话说,之前的mian并没有被标识为函数,这样操作之后main才是一个函数.
lab15-03
程序输出如下格式看似是再遍历每个进程的模块,然后输出相应的信息
然而在开头,main函数的返回地址已经被修改为40148c
到40148c查看,发现函数没作什么,只是注册一个seh函数,然后造成一个div 0错误,导致seh函数4014c0被调用
程序到这里调用下一个指令
函数sub_401534是将参数的每个字节的比特位取反
这个函数调用其实啥也没做,因为403040h处的字节还是0,本来应该是要得到一个文件名的,如右图实际字符串再403041开始地方
接着下载文件,用上面的url,下载到403040h处
最后调用winexec运行这个403040处的文件名
分析结束
617
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
