骷髅病毒分析

最新推荐文章于 2025-02-13 20:30:33 发布
最新推荐文章于 2025-02-13 20:30:33 发布
阅读量861 收藏 1
点赞数 1
分类专栏: 漏洞 文章标签: 网络 二进制 c语言 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/129565452
版权
本文详细分析了骷髅病毒,从病毒信息、环境准备、脱壳过程、行为分析到静态分析,揭示了其创建新文件、修改注册表及自我删除的行为。通过火绒剑监控和使用IDASub_405A52等功能点,解析了病毒的潜在威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、病毒信息

病毒名称:骷髅病毒

文件名称:

d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827

文件格式:

EXEx86

文件类型(Magic):

PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed

文件大小:

66.50KB

SHA256:

d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827

SHA1:

c660516ceb64fb9373b297973f962398ee6d1879

MD5:

77031bafa4c641c28ab9f624a15766b0

CRC32:

79C2B4D8

SSDEEP:

768:CGBwjSgvnyXXQkZuzQEN8Fs+U5MV4nb42sWAw/CQd07d21a1XWCIqrY+9GbRa:PBzgvnyXgkwg0sl5Qd07k1sXvr

TLSH:

T1D0635C1BAD45D0A1E00600389519FAFF66A76C71C51EAA53FB80FD827CB8587F8B9D07

AuthentiHash:

4A58C42F188D69E5EC03A22F02C0C9AB8D6B8D0B39C01DD7CA05DD97074509A2

peHashNG:

15fe9808e4c7996169d2f7d72ab94995e16510faac3b23d090f9c6ccbcceaa0f

RichHash:

c5755a1d31fa664aef391971dfc1145d

impfuzzy:

24:MEpZQCB8u1wX1siuLVuLQjuyPq0jcfLGDQj1E5T0v+GO9CJI/qkbJnBevrzvoLWZ:prwX1Euljix02G+CJI/q0JBevrzri+

ImpHash:

ccbcdba127c40ad07597791950e62759

ICON SHA256:

ffac9d7025d1e7d091fc5449da7401928cff13c3083719ca38b4518042608ef9

ICON DHash:

336171172d330c0d

Tags:

exe,section_name_exception,lang_chinese

二、环境准备

系统

杀毒软件

调试器

Win7x86

火绒剑

IDA,OD

三、脱壳

样本拖到PEID中,可以看到是有UXP壳:

首先脱壳,样本拖入OD:

</
最低0.47元/天 解锁文章
GhostPetya骷髅病毒分析
安全杂货铺
12-13 6907
这是主函数入口,看到如下红框,调用的函数的地址都是动态生成的,只能使用OD进行调试了。 一路单步步过,没做什么操作,一开始我调试时老是跑飞,不知道病毒心代码的入口在哪,最后,才发现下图红框EnumWindowStationsW函数处是入口。EnumWindowStationsW的作用是为窗口注册触发一个回调函数,这里的回调函数是0x4364AC。 ...
病毒样本分析小结
星焱宖
05-27 3267
这是笔者跟从具有多年反病毒引擎开发人员学习感悟的一些知识点,希望与大家一同交流
骷髅病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅病毒感染迹象以及特征码
骷髅病毒分析报告
weixin_33962923的博客
11-03 554
2019独角兽企业重金招聘Python工程师标准>>> ...
MEMZ病毒代码(.bat)
最新发布
jcx1019的博客
02-13 719
【代码】MEMZ病毒代码(.bat)
psd 骷髅
01-08
Adobe Photoshop,简称“PS”,是一个由Adobe Systems开发和发行的图像处理软件。Photoshop主要处理以像素所构成的数字图像。
病毒代码
ygyangguang的专栏
12-08 1509
{**********************************************************************}{                                                                      }{                  Crossbow Virus OpenSource Project    
KimSuky病毒样本分析
weixin_43781139的博客
03-16 616
0x00 前言准备 kimsuky APT组织(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。 实验环境:win10 分析工具:火绒剑 IDA x32dbg die procmon ...
各种病毒分析
04-06
病毒分析和清除方法 本文将为您介绍四种不同的病毒:Dropper.Win32.Agent.bd、Trojan.DL.IeFrame、Worm.Win32.Agent 和 Worm.Viking.is,以及它们的清除方法。 一、Dropper.Win32.Agent.bd 病毒分析 Dropper.Win...
骷髅
02-16
骷髅
BAT病毒代码(一)
2301_78588271的博客
06-23 6908
msgbox "点不完吧,气不气?
骷髅头硬盘锁源码
08-31
很强大的硬盘锁
整蛊小病毒,自己拿来快乐
didui8950的博客
05-30 2696
今天刚学了关于网络安全的东西,稍微学了点小的东西,来做个笔记。 自己玩的话,最后在虚拟机上玩!! 现在我来列举一下一些整蛊的小病毒(直接把代码丢在记事本内,把后缀改为.bat): 让桌面消失的病毒 @echo off taskkill /im explorer.exe /f (解决方法:重启) 所有文件失效病毒 @echo off as...
简单整蛊室友,只需几行bat病毒代码
热门推荐
f32556b6edcdc80c的博客
10-07 4万+
整蛊室友,马上搞定。
vbs 脚本2
weixin_30511039的博客
04-06 5680
一些很恶作剧的vbs程序代码 作者: 字体:[增加减小] 类型:转载 时间:2013-01-16我要评论 恶作剧的vbs代码,这里提供的都是一些死循环或导致系统死机的vbs对机器没坏处,最多关机重启一下就可以了,将下面的任意一段代码保存为*.vbs即可 操作方法:把代码保存为*.VBS运行即可经本人亲自测试 不会出大问题的,一般都是利用无限循环,不是死循环,...
硬盘锁---MBR病毒
liujiayu2的专栏
06-11 5224
unsigned char scode[] = "\xb8\x12\x00\xcd\x10\xbd\x18\x7c\xb9\x18\x00\xb8\x01\x13\xbb\x0c" "\x00\xba\x1d\x0e\xcd\x10\xe2\xfe\x49\x20\x61\x6d\x20\x76\x69\x72" "\x75\x73\x21\x20\x46\x75\x63\x6b\x20\x
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值