某木马分析-02

最新推荐文章于 2023-12-15 12:15:00 发布
最新推荐文章于 2023-12-15 12:15:00 发布
阅读量284 收藏
点赞数 1
分类专栏: 恶意代码 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/89875052
版权

序言

接着上回分析,这回分析释放出来的EXE文件.

功能

设置服务名对应的处理函数.

函数分析

    1. 0x401D00
GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径
v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, NULL, NULL); // 
...
 SetFilePointer(v2, -4500, 0, 2u);           // 移动至距文件尾4500字节位置
 v5 = operator new(4500u);
 ReadFile(v3, v5, 4500u, &NumberOfBytesRead, 0);
 CloseHandle(v3);
 v6 = sub_401C90((int)v5, (const char *)a2, 4500, 0); //查找字符串"LOADER"所在的位置, 主要获取"LOADER"后面的内容,即"X6Remote"
    1. 0x401030
/*
 * 别看这个函数很复杂, 但用上得只有很少一部分, 参数传进去, 功能相当于将字符串开头的空格
 * 剔除
 */
 sub_401030(HKEY_LOCAL_MACHINE, &SubKey, ValueName, 1u, String, 0, v5, 0);// URL, String = AAAAAA/87xz6eIiIuLp+TL/LOPiYmJiZk=
  v6 = lstrlenA(byte_404218);
  sub_401030(HKEY_LOCAL_MACHINE, &SubKey, aDll_name, 1u, byte_404218, 0, v6, 0);// return 0, byte_404218 = xxxxxx.dll
    1. 服务处理函数0x401990
/*
 * CreateThread(0, 0, (LPTHREAD_START_ROUTINE)StartAddress, 0, 0, v2);
 */
 ---------------------------StartAddress Start-------------------------------------
  SHGetSpecialFolderPathA(0, &pszPath, 38, 0); //获取"C:\Program Files"
  GetModuleFileNameA(0, &Filename, 0x104u);    // 获取当前可执行文件的路径
  PathStripPath(&Filename, &v17, &String2, &v16);//0x401EF0 相当于Windows API PathStripPath, 将路径去除, 文件赋给String2.
  ...
while (1){
    Sleep(0x64u);
    if ( FindSpecifiedProcess(&DSMain.exe) )    // DSMain.exe, 360的实时监控程序, 出现DSMain.exe, 就会将当前文件移至C:\Program Files文件夹下.
      break;
    Sleep(0xBB8u);
  }
-----------------------------StartAddress End--------------------------------------

执行DLL代码

 wsprintfA(&CmdLine, aRundll32SCodem, byte_404218);// rundll32  xxxxxx.dll,CodeMain
 VersionInformation.dwOSVersionInfoSize = 0x94;
 GetVersionExA(&VersionInformation);
 if ( VersionInformation.dwMajorVersion >= 6 ) // win10
        sub_401670(&CmdLine);				// Windows 10, Windows 2016
  else
        WinExec(&CmdLine, 0);				//Windows XP, Windows 7, Windows 8, Windows 8.1
    1. 0x401670
/*
 * Windows 10 执行rundll32需要管理员权限.
 */
 .......待续

总结

这个EXE就是要执行DLL中的CodeMain函数, 服务中的URL项应该是个域名, 只不过是被加密的.

链接

IDB数据库下载

qq_33528164
关注
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
木马核心技术剖析读书笔记之木马分析技术
不急不躁
03-16 960
常见的恶意软分析技术主要包含静态分析和动态分析两大类 反调试 木马程序使用反调试技术,可以阻止调试器对木马程序的加载;阻止调试器对木马程序的执行控制;阻止对木马程序设置断点;阻止调试器读取被调试进程的内存信息,进而延缓整个分析过程 Windows 系统实现了专门的调试器接口,而大多数调试器都是基于这些调试接口实现的 调试器工作机制 反病毒分析过程中,由于不可能获取到被分析软件的源码,...
实验一木马分析(隐藏分析)实验
qq_30600405的博客
10-27 5561
实验一木马分析(隐藏分析)实验
一款木马分析
03-21 1214
 by nbw4 NE365  为了配合kanxue老大倡议的多发文,加上近来有些乏,找个别的东西分析一下耍耍。随便从网上下了个木马生成器,是个所谓的下载者,就是Downloader。  名字叫什么 木马基地八一极限下载者,木马么,都喜欢搞得比较牛的样子,其实都比较龌龊,技术和人品一样龌龊。    附件是木马生成器,建议先运行一下看看,生成器无毒。  我下面分析的是这个生成器产生的木马,配置信息就
病毒木马防御与分析
Antz Uhl Kone
01-15 992
病毒木马防御与分析 病毒包和工具包下载:Github 一.前言 二.建立对手动查杀病毒技术的正确认识 1.病毒分析方法 2.病毒查杀步骤 3.必备知识 * 1) 熟悉windows系统进程 * 2) 熟悉常见端口与进程对应关系 * 3) 熟悉windows自带系统服务 * 4) 熟悉注册表启动项位置 三.详解Windows随机启动项目——注...
木马分析
qq_45157635的博客
06-19 1027
木马分析 原理 1.木马是隐藏在正常程序中的具有特殊功能恶意代码,是具备破坏,删除和修改文件,发送密码,记录键盘,实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 2.木马的传统连接技术: 一般木马都采用C/S(client/server,即服务器/客户端)运行模式,因此它分为两部分,即客户端和服务前端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出
一个木马分析(一)
白菜有罪的专栏
03-02 915
文件MD5:130862496f0fd7a4d6dcb519a06f9f80 分析完毕之后大概的结论有: 1)将自身拷贝到其他文件夹中,然后删除自身 2)结束指定进程,启动宿主进程 3)向系统进程注入代码 4)写启动项注册表 5)下载文件 6)查询DNS信息
挖矿木马总结
luckc7的博客
06-09 1636
挖矿木马总结与案列分享
CHM木马分析与利用
systemino的博客
08-04 1857
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 前言 CHM文件格式是微软推出的基于HTML文件特性的帮助文件系统,也称作“已编译的HTML帮助文件”。CHM能够支持脚本、Flash、图片、音频、视频等内容,并且同样支持超链接目录、索引以及全文检索功能,常用来制作说明文档、电子书等以方便查阅,在绝大多数人的印象中,CHM类型...
木马分析(隐藏分析
lalalalala~~
11-03 1199
实验目的&要求: 了解木马隐藏技术的基本原理 提高木马攻击的防范意识 明确木马技术的发展方向 学会使用木马防范的相关工具 实现实验所提到的命令和工具,得到实验结果 预备知识 木马隐藏的技术 程序隐藏: 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。 程序捆绑方式是将多个exe程序链接在一起组合成一个exe文件,当运行该exe文件时,多个程序同时运行。程序捆绑有多种方式,如将多个exe文件...
木马分析-01
Bill
05-05 461
序言 在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待. 总体分析 程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务. 主程序 1.WinMain ... /* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...
木马分析方法学习整理
相信未来!
05-26 1411
0x00 木马分析之旅 (待续) [1] RegSnap—注册表分析工具 [2] 怎样把任意exe程序注册成windows系统服务(手动注册服务) [3] Process Monitor监控目录 - 监控文件被哪个进程操作了 [4] Process Monitor—监控Windows系统的注册表、进程、文件系统、网络等信息 [5] 使用wireshark常用的过滤命令 [6]...
木马分析(控制分析)实验
weixin_30443813的博客
10-29 458
一、实验目的 理解和掌握木马传播和运行的基本原理 在虚拟机上模拟木马传播和感染 认识常见的木马控制功能 加深对木马的安全防范意识 二、实验内容 介绍与木马相关的基本概念 配置木马文件 测试木马的各项控制功能 使用Wireshark工具尝试分析木马的控制过程 三、要求环境 木马控制端及受控端生成程序:上兴远控 网络通信数据嗅探工具:Wireshark W...
木马病毒分析笔记
m0_45503137的博客
05-06 2061
1.样本概况 1.1样本信息 文件: C:\Users\86134\Desktop\火\02156056304b0ef8122f0363efee43ec64013dfe.exe 大小: 57344 bytes 文件版本:1.00 修改时间: 2020年4月21日, 12:23:06 MD5: 26D9D3DE6426BB6F9D5F6B4039C3A1C0 SHA1: 02156056304B0E...
一个邮件钓鱼木马分析 (一)
浪子_三少(邮箱:basketwill@qq.com)
07-31 1万+
已发表于本人专栏:  http://www.freebuf.com/column/142406.html 最近收到一个钓鱼木马邮件,内容形式如下:   邮件里有个链接,当点开链接后会下载一个doc文档,打开文档会发现有宏代码   经过一些列解密后悔执行shell执行宏命令,打印出这个信息出来后发现,原来执行了powershell命令   是从网
木马病毒制作及分析
热门推荐
qq_45785457的博客
11-04 1万+
实验目的 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; 【注意事项】 1.本病毒程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。 2.若在个人电脑上实验,最好在虚拟机中运行。 3.测试完毕后,请注意病毒程序的清除,以免误操作破坏
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
Hades的博客
07-16 3073
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))样本信息文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir大小: 46080 bytes修改时间: 2017年8月1日, 12:08:36MD5: A066B5BB41892068E172E5F52B3137F4SHA1: 658889F4B0F62...
(菜鸟自学)木马与后门技术
最新发布
nbdlsplyb的博客
12-15 3827
它依赖于用户的行为,需要用户主动运行或安装木马文件。通过保持警惕,使用可信赖的安全软件,及时更新系统和应用程序,并避免点击可疑链接和下载未知来源的文件,可以有效减少木马对计算机和个人信息的风险。”,该路径是系统中的临时文件夹,系统会自动选中“”绝对路径,然后勾选“保存和还原路径”,选项允许自解压程序在注册表中存储用户输入的目标路径,并在自解压文件下一次运行时使用相同的解压路径。这些都是常见的木马分类,但需要注意的是,随着恶意软件技术的不断发展,新型的木马不断出现,可能具有多种复合的功能和特点。
逆向漏洞-木马攻击与防御技术
Coisini的博客
05-27 713
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值