木马病毒分析笔记

最新推荐文章于 2021-03-03 09:47:42 发布
最新推荐文章于 2021-03-03 09:47:42 发布
阅读量1.9k 收藏 8
点赞数 3
分类专栏: 病毒分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45503137/article/details/105950815
版权

1.样本概况

1.1样本信息
文件: C:\Users\86134\Desktop\火\02156056304b0ef8122f0363efee43ec64013dfe.exe
大小: 57344 bytes
文件版本:1.00
修改时间: 2020年4月21日, 12:23:06
MD5: 26D9D3DE6426BB6F9D5F6B4039C3A1C0
SHA1: 02156056304B0EF8122F0363EFEE43EC64013DFE
CRC32: 273E30A2

1.2测试环境及工具
WMware+Win7 32位+火绒剑+IDA+OD+PChunter+010Editor+Hash

2.病毒行为

2.2进程行为,创建傀儡进程RegAsm.exe
在这里插入图片描述
在这里插入图片描述
2.2文件行为
在这里插入图片描述
2.3注册表行为
在这里插入图片描述
2.4网络行为
在这里插入图片描述
通过火绒剑进行行为分析发现:
1.该病毒样本主要是以挂起的形式创建RegAsm.exe傀儡进程,远程写入ShellCode,设置傀儡进程的上下文环境,修改eip指向,执行ShellCode,达到隐藏和免杀的目的。
2.通过RegAsm.exe拷贝病毒原文件winsup.exe到目录C:User\86134\Temp\,并通过设置注册表RUN键自启动。
3.会连接可疑站点172.93.1.3.194:80端口,猜测可能是远控服务器地址。
访问www.plmaxvr.com/bby_encrypted_1107810.bin,并且会通过设置注册表项,修改IE浏览器将安全属性,使其能顺利访问可疑站点。(目前该站点已无法访问)

3.恶意代码具体分析
3.1.该程序未加壳,但使用大量混淆,导致静态分析直接失效,样本有反静态分析技术。
在这里插入图片描述
在这里插入图片描述
3.2.使用OD动态调试
使用OD对用户态常规API下断点,无法断下来,猜测可能是调用了更底层的API,或者使用了反调试。
在这里插入图片描述
第一部分:病毒程序运行部分
创建傀儡进程RegAsm.exe
在这里插入图片描述
将病毒代码远程写入到傀儡进程并执行
在这里插入图片描述
对VirTualAllocEx下断点,通过栈回溯定位到ShellCode
获取ShellCode
在这里插入图片描述
跳转到ShellCode
在这里插入图片描述
执行ShellCode
在这里插入图片描述
ShellCode具体分析
1.反调试
在这里插入图片描述
2.关键位置和关键API
在这里插入图片描述
在这里插入图片描述
3.动态加载模块,调用A_ShaFinal计算哈希值,遍历IAT找到需要获取的API
在这里插入图片描述
在这里插入图片描述
shell32
在这里插入图片描述
循环遍历获shell32.dll导出表,获取API
在这里插入图片描述
注册表操作
在这里插入图片描述

第二部分:傀儡进程RegAsm.exe执行部分

由于病毒的核心功能代码是在傀儡进程当中执行,所以在1.exe病毒进程远程写入的时候需要再开一个调试器对RegAsm…exe进行附加调试。并在ZwSetContextThread函数时找到CONTEXT结构体,通过偏移位置找到EIP被修改后所指向的位置,然后去傀儡进程对应的地址下断点,这样当调用ZwResumeThread时才会断到注入的病毒代码位置,方便调试。

注入到傀儡进程的关键API序列
在这里插入图片描述
获取远程写入的地址:将11F0000的内容远程写入到1D40000在这里插入图片描述
根据CONTEXT结构体找到RegAsm.exe的新的EPI地址0X1D0000
![(https://img-blog.csdnimg.cn/20200506151637550.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ1NTAzMTM3,size_16,color_FFFFFF,t_70)

在傀儡进程0X1D0000设置断点,当病毒进程执行ZwResumThread后,傀儡进程成功断下
在这里插入图片描述
在用户目录创建临时目录temp并将winsup.exe写入
在这里插入图片描述
注册表操作:RegCreateKeyEax创建“software\microsoft\windows\currentversion\runonce”,并将winsup.exe路劲写到runonce键下用于自启动
在这里插入图片描述
设置注册表值
在这里插入图片描述
文件操作:打开winsup.exe
在这里插入图片描述
将病毒文件写入到winsup.exe
在这里插入图片描述
访问可疑网址:
在这里插入图片描述
修改IE浏览器安全属性并打开IE浏览器在这里插入图片描述
访问www.plmaxvr.com/bby_encrypted_1107810.bin网路地址
在这里插入图片描述
从网址读取数据:获取攻击命令
在这里插入图片描述
使用到的API序列:
1.InternetOpen(ip:port/cmd.txt) CC地址
2.InternetConnect
3.InternetOpenRequest
4.InternetSendRequest ----> 1 0
5.InternetReadFile
通过InternetReadFile获取攻击命令,执行攻击操作
注:
1.由于该地址现以无法访问,导致一直在上图代码区循环,以无法定位执行命令地址。
2.通过人为修改执行流程,发现有大量混淆代码,也无法解析病毒用户协议。
3.猜测对用户协议解析后通过switch - case结构执行不同的攻击命令。

总结:
1.该病毒样本通过创建授信进程RegAsm.exe,申请堆空间,拷贝ShellCode,获取进程上下文环境,修改EPI指向,隐蔽执行恶意代码ShellCode。
使用到的关键API:
VirtualAllocExW,CreateFileW,ZwGetContextThread,ZwSetContextThread,ZwWriteVirtualMemory
2.该病毒样本使用到的大量API均为动态获取。
2.1通过fs:[0x30]加偏移获取kernel32的加载基址,遍历kernel32导出表,获取LoadLibrary函数地址动态加载模块。
2.2通过遍历模块导出表进行哈希值比对,动态获取需要调用的API。具有较强的隐蔽性和免杀性。
3.该病毒样本应该是属于木马后门,目前172.93.1.3.194:80和
www.plmaxvr.com/bby_encrypted_1107810.bin以无法正常访问。
4.
反分析手段:
1.该病毒具有反静态分析的功能,无法使用IAD进行分析。
2.该病毒具有反调试功能,会检测硬件和软件断点。
3.该病毒的ShllCode有大量的混淆和花指令,免杀和阻碍逆向分析。
4.该病毒未使用常规用户态API,程序无法正常断下。
5.调试该程序的时候,遇到各种莫名奇妙的问题,比如当对一个函数F7有时会崩溃,对某些函数F8会崩溃,经过多次调试发现对这些函数的返回地址下断点,F9就不会崩溃。

bluff__
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zbot木马分析
u011636170的专栏
11-22 2497
木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。木马主要的四个阶段: 0x01:释放样本到临时文件夹,并启动0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
[病毒分析]熊猫烧香(上)初始分析
网络安全知识分享
03-03 1万+
熊猫烧香病毒分析(第一篇)一、病毒初始化二、PEID加壳检查三、IDA和OD的分析(1)使用IDA载入病毒样本(2)定位到0x0040CB7E位置(3)sub_403C98函数分析(4)打开IDA进入sub_403C98函数(5)sub_405360函数分析(6)sub_404018函数分析(7)loc_40CBBC功能分析四、总结 熊猫烧香样本下载 提取码:8189 一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程: 利用查壳工具检查病毒是否带壳 利用OD动态分析病毒 利用IDA
实例讲解木马的分析方法
[智能天空教程区 Smart-sky]
02-09 1029
以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留
火眼病毒木马分析
weixin_34236869的博客
01-14 203
本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/50515004 未经博主允许不得转载。 博主地址是:http://blog.csdn.net/freewebsys 1,木马分析 最近服务器中招了,破windows。 找到了一个木马分析云端软件。火眼,网站是:...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
计算机病毒课件
09-22
接着,课件可能会详细讲解计算机病毒的分类,如木马病毒(隐藏在合法程序中)、蠕虫病毒(能够自我传播无需宿主程序)和宏病毒(嵌入在文档中的宏代码)。每个类型都有其独特的传播机制和危害性,需要针对性的防护...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
笔记本专用18种武器
11-30
8. **卡巴斯基反病毒6.0**:这是卡巴斯基早期的一款反病毒软件,用于保护笔记本免受病毒、木马、间谍软件等恶意程序的威胁。定期更新和扫描是保持系统安全的关键。 这些工具集合在一起,构成了一个全面的笔记本维护...
笔记本更新显卡后黑屏.pdf
08-31
某些安全软件只对病毒木马文件修复,而不对注册表修复,导致出现电脑开机黑屏。 三、黑屏补丁的影响 黑屏补丁是微软为了警告使用XP专业操作系统的盗版用户,采取的一小时黑屏一次。这种黑屏补丁可能会导致笔记本...
木马病毒造成网络异常分析
02-27
主要对木马病毒造成的网络异常该如何诊断和分析
对某病毒的一次完全逆向分析.pdf
07-05
唉,好奇心真是害人啊。这里也顺便提醒一下大家,一定要当心,别有用心的人大有人在,有几个真正在无私奉献?笔者为了好奇心付出了惨重的代价,然而,能这么算了吗,血能白流吗?这病毒究竟想干什么?怎么干的?又是出于对以上几个问题的好奇,经过一段时间地折腾,本文诞生了。
某木马分析-02
Bill
05-06 259
序言 接着上回分析,这回分析释放出来的EXE文件. 功能 设置服务名对应的处理函数. 函数分析 0x401D00 GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径 v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, O...
病毒木马防御与分析
Antz Uhl Kone
01-15 877
病毒木马防御与分析 病毒包和工具包下载:Github 一.前言 二.建立对手动查杀病毒技术的正确认识 1.病毒分析方法 2.病毒查杀步骤 3.必备知识 * 1) 熟悉windows系统进程 * 2) 熟悉常见端口与进程对应关系 * 3) 熟悉windows自带系统服务 * 4) 熟悉注册表启动项位置 三.详解Windows随机启动项目——注...
透视木马程序开发技术: 源代码详解(上)
11-10 598
近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。 其破坏力之大,是绝不容忽视的,黑客到底是如何制造了这种种具有破坏力的木马程序呢,下面我对木马进行源代码级的详细的分析,让我们对木马的开发技术做一次彻底的透视,从了解木马技术开始,更加安全的管理好自己的计算机。 1、木马程序的分类木马程序技
Android木马病毒com.schemedroid的分析报告
Fly20141201. 的专栏
08-03 6368
安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了并且每个类的加密算法还不是一样的,人肉还原出被加密的字符串是很不现实的,该样本大约有100多个类,需要处理的加密字符串的解密高达几千个之多,有兴趣和能拿到样本的同学可以挑战一下自己,暂不提供样本。经...
一个简单的Android木马病毒分析
热门推荐
Fly20141201. 的专栏
09-09 3万+
一、样本信息 文件名称: 一个安卓病毒木马.apk  文件大小:242867 byte   文件类型:application/jar   病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC   二、病毒行为分析 0x1. 静态注册Android
木马病毒分析考试
创造神话,实现梦想!
03-21 1789
木马病毒分析考试 1、以下病毒中不属于引导型病毒的是? CA、“大麻”病毒B、“小球”病毒C、“冲击波”病毒D、WYX病毒2、CIH-1.3病毒的发作时间是?  DA、4月26日B 、6月26日C、月份+日期=13D、 每月的26日3、MBR的作用是?              CA、负责从活动分区中装载并运行系统引导程序B、标识磁盘空间“簇”的分配情况C、负责操作系统的引导启动D、对硬盘分区结构
病毒分析之Virut病毒感染样本分析(setup.exe)
Hades的博客
07-16 7389
病毒分析之Virut病毒感染样本分析(setup.exe)样本概况文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe大小: 369664 bytes文件版本:8.0.50727.42 (RTM.050727-4200)修改时间: 2014年4月21日, 11:18:00MD5: E29DAE6188A0B0BB797C42F68D8DFA...
算法设计与分析学习笔记
最新发布
05-15
算法设计与分析是计算机科学中非常重要的一门课程,它主要涵盖了算法的设计、分析和实现等方面的内容。在学习该课程时,需要掌握基本的算法思想和技巧,如贪心、分治、动态规划、回溯等,同时还需要熟练掌握常用的数据结构,如树、图、堆、队列等。 在算法设计与分析学习笔记中,通常会包括以下内容: 1. 基本算法思想的介绍和举例; 2. 常用数据结构的介绍和操作方法; 3. 算法的正确性证明和时间复杂度分析; 4. 算法实现的注意事项和技巧; 5. 算法应用实例和相关练习题目。 如果你想更深入地了解算法设计与分析,可以参考一些经典的算法教材,如《算法导论》、《数据结构与算法分析》等。同时,在学习过程中,要多动手实践,写代码进行模拟和实现,这样才能真正掌握算法的精髓。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值