简单进程注入分析
样本来自《恶意样本分析》Lab12-1.exe Lab12-01.dll
运行程序后,发生了什么?
观察程序运行信息,会弹出一个对话框提示Press Ok to reboot
,点击确认后会再次弹出,可以肯定程序是应该有一个循环,每次弹出对话快之后就等待,如果对话框没被关闭,会重复弹出,如果关闭了,则会在定时器触发后再次弹框。
哪个进程被注入了
这个在运行时没有准确定位到,对比了可以的程序并没有发现,需要实际逆向分析程序。分析后可知,explore.exe
被注入加载dll
如何关闭弹窗
需要逆向分析并做patch掉弹框程序,将被注入的进程关闭即可。
程序是如何工作的
首先将样本拖入ida分析,来到main入口,程序先获取获取可执行程序的路径,并拼接了currentpath\to\Lab12-07.dll
的完整路径,这时候通过EnumProcesses
来枚举进程,如果枚举失败,则返回装填1退出,如下