前言
1、go二进制文件中pclntab结构中的函数名信息,并没有被去掉,而且可以通过辅助脚本再反汇编工具里将其恢复。
2、go的函数调用约定跟c++的有些不同,前9个参数分别放入寄存器rax,rbx,rcx,rdi,rsi,r8,r9,r10,r11,其他参数从右往左入栈。主调函数平衡堆栈,但是只有当主调函数执行完才会去平衡堆栈,而不是被调函数执行完就立即平衡。
3、字符串实际是个结构体类型,字符串结构体有两个成员,分别是字符串地址和长度。在传递结构体时,每个成员都会当成一个变量传递。例如要传个字符串,rax是字符串地址,ebx就是字符串长度。
起始
某同学收到一封邮件,里面附带伪装成docx文档的病毒。点击后会打开一个docx文档。
分析
ida打开可以看到函数名已经给还原了。
函数主体分析
1、从主函数开始看,开始有一大片代码获取机器的非环回IP。
2、获取主机名,拼接字符串,调用screen函数截屏。
os_name获取主机名,runtime_concatstring3 是字符串拼接。rbx,rcx 是字符串"null",rdi,rsi是_,r8r9是主机名,拼接起来是null_DESKTOP-4DPJEDE。实际上rbx是放的本地IP地址,由于一开始断网分析的,所以rbx为null。此处拼接得到文件名null_DESKTOP-4DPJEDE.png。
3、调用main_uploadRequest,返回值rax被存入局部变量var_C0中,后面放入到rbx传入net_http__Client__do,由于该函数参数需要一个Request指针,所以main_uploadRequest返回的是一个Reuqest指针。
4、接下来又打开了文件,写入内容,是一个docx文档。
5、新建 os_exec_Command对象,main_main_dwrap_1里是执行命令的操作。执行打开文档的命令。
内存可以看到结构体有两个成员是有值的,根据查到的结构体,第一个成员是执行路径字符串,路径长度为0x1b,第二个成员是执行命令的参数构成的数组,这的数组长度为3,实际参数为:cmd /c 文档绝对路径。
main_screen
main_screen里面用第三方库进行截图,然后调用main_save,应该是用来保存截图的
此处字符串拼接获得图片的绝对路径。
main_save
main_save 里面主要是获取临时文件目录,拼接文件名,调用main_save_dwrap_3。main_save_dwrap_3里面是写入文件,关闭文件句柄。
main_uploadRequest
os_OpenFile打开的是截图,main_uploadRequest_dwrap_2里面看到关掉句柄,应该还有写入缓冲区的操作
接下来调用net_http_NewRequestWithContext,函数原型显示会返回Request指针,动态调试看下参数是啥。
POST请求 http://my.gdtel.org/yanlian_upload.php,截图传出去。
汇总
1、获取主机IP
2、截屏,IP+“_”+主机名+“.png”,组成截图文件名放入机器的临时文件目录下。
3、post请求上传截图到恶意网站。
4、在临时文件目录下新建文档写入内容,并且执行命令打开文档。