高级静态逆向分析(下)
教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm
Lab 7-3
本节实验使用样本Lab07-03.exe和Lab07-03.dll。
Lab07-03.exe
先来分析Lab07-03.exe,程序的开头先判断参数是否为“WARNING_THIS_WILL_DESTROY_YOUR_MACHINE”,若不是则立即退出程序,不做任何操作。
然后打开文件C:\Windows\System32\Kernel32.dll和Lab07-03.dll,并将它们都映射到内存中。
将它们映射到内存中后,程序开始做一列串的乏味工作,这一大段只调用了两个函数sub_401040和sub_401070。这些函数均很短,并且几乎没有相互调用,所以我们猜测它们的主要功能是比较内存、计算偏移,或者写入内存。