Lab 6-2
静态分析
使用IDA pro查看字符串
有一些出错信息,该程序可能会打开一个网页,并解析一条指令。有一个网页信息http://www.practicalmalwareanalysis.com/cc.htm
可以用于网络特征。
导入函数
和网络有关的API函数
动态分析
监听80端口时Netcat输出
C:\>nc -l -p 80
Get /cc.htm/1.1
User-Agent: Internet Explorer 7.5/pma
http://www.practicalmalwareanalysis.com
1.由main函数调用的第一个子过程执行了什么操作?
同Lab 6-1,是一个if语句,用于检查是否存在可用的网络连接。
2.位于0x40117F
的子过程是什么?
同Lab 6-1,是printf
函数。
3.被mian函数调用的第二个子过程做了什么?
位于0x401040
,下载网页,从页面开始处解析HTML注释。
进入sub_401040
,和动态分析一致。
首先调用InternetOpenA初始化;InternetOpenUrlA
用于打开亚茹栈参数的静态网页,引发在动态分析中看到的DNS请求。
InternetOpenUrlA
结果赋给了hFile
,并在1处与0进行比较。相等返回,否则传给下一个函数InternetReadFile
。hFile
实际上是一个句柄——一种访问已经打开的URL的途径。
InternetReadFile
从InternetOpenUrlA
打开的网页中读取内容。
//MSDN
BOOLAPI InternetReadFile(
HINTERNET hFile,
LPVOID lpBuffer,
DWORD dwNumberOfBytesToRead,
LPDWORD lpdwNumberOfBytesRead
);
第二个参数也即是第2处,Buffer
是保存数据的数组,最多保存0x200
字节的数据,即3处的NumberOfBytesToRead
参数的值。在已经知道该函数用于读取网页的基础上,我们可以认为Buffer
是一个字符数组。
Buffer处理
cmp ecx, 3Ch
用于检查第一个字符是否等于0x3C,对应的字符为<,依次右击更改显示后发现<!–,是HTML注释的开始部分。
movsx edx, [ebp+var_20F]这个位置的var_20F,是由于IDA pro没有识别出BUffer这个局部变量的大小是512字节,因此显示为一个局部变量。
实质上相等于一个Buffer+1。
填充函数栈后
4.在这个子过程中使用了什么类型的代码结构?
调用Inte,将返回数据填充到字符数组中,然后每次一个字节地对这个数组进行比较,以解析一个HTML注释。
main函数
sub_401040
函数返回一个非0值,打印"Success: Parsed command is %c\n"
,其中%c
是格式字符串,是从HTML中解析出来的字符。
紧接着调用了sub_40117F
函数,也就是printf
函数(第2题)
再调用sleep
函数,0EA60h
表示一分钟 60000
毫秒
5.在这个程序中有任何基于网络的特征的指示吗?
两条网络特征。使用Internet Explorer 7.5/pma
作为User-Agent
字段,并从http://www.practicalmalwareanalysis.com/cc.htm
下载了网页。
6.这个恶意代码的目的是什么?
首先判断是否在可用的网络连接,不存在就终止运行。存在即使用独特的用户代理下载一个网页,该网页包含一段由<!--
开始的HTML注释,程序解析其后的那个字符并输出到屏幕,输出格式是Success: Parsed command is X
,其中X
就是从该HTML注释解析出来的字符,解析成功,程序会休眠一分钟,然后终止运行。
参考
1.斯科尔斯基, 哈尼克. 恶意代码分析实战[M]. 电子工业出版社, 2014.