最近一段时间在面试病毒相关岗位,有的公司会电话、远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告。下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。
由于考虑到时间问题,不能让面试官等太久,所以我只将病毒关键功能模块进行分析说明,没有之前文章那么详细,也请大家见谅,不懂之处欢迎提出,我也尽量解答,加油!
注意!本文只限于学习用途。
一
样本信息
- 样本名称:
94251089D878B5C45A763B205062B60CC4D7D0A1CD4CAB3CAA38D8E6A43ECB11
- 样本大小:893.13KB
- MD5:ba46b18f05ab2b24df26e343dd32946b
- SHA-256:
32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5
- SHA-1:
34f07e131d4f147af96d262eee761582c6f0b1a4
- VirusTotal:
https://www.virustotal.com/#/file/32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5/detection
二
病毒分析环境及工具
环境:Oracle VM VirtualBox、Windows 7 Service Pack 1(x64)
工具:PEID V0.95、OD、IDA、Resource Hack、火绒剑、010editor、Resource Explorer
三
基础病毒分析
1、基础静态分析
为了方便测试,更改病毒名称为1,拖入PEID发现为非PE文件,拖入010editor发现是个rar文件,更改文件名添加.rar后缀解压发现一个伪装成文件夹的exe程序。
对18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe进行查壳,初步判断为无壳:
将18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe拖入IDA简单发现安全程序字符串和进程遍历函数,判断病毒程序会对安全软件进行遍历:
2、基础动态分析:
为了节约时间,这里就不截图展示了,基本思路是拖入火绒剑监控程序运行,常见的操作和推测可参考之前的文章。
四
详细病毒分析
1、18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe 分析
首先程序来到sub4057AE()函数,对自身PE程序进行检测,失败则会退出。
sub40624F()根据前面获得的启动信息结构体对主机型号进行检测。
获得命令行参数:
最低0.47元/天 解锁文章
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
