恶意代码分析
工作生涯开始
qq_33528164
爱好共享,提倡互相帮助。
展开
-
某木马分析-02
序言接着上回分析,这回分析释放出来的EXE文件.功能设置服务名对应的处理函数.函数分析0x401D00GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, O...原创 2019-05-06 11:03:20 · 273 阅读 · 0 评论 -
某木马分析-01
序言在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待.总体分析程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务.主程序1.WinMain.../* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...原创 2019-05-05 21:38:26 · 450 阅读 · 0 评论 -
LPK木马分析-03
序言前面分析是主程序, 下面分析载荷, 将lpk.dll传播至每个含有exe文件夹中.总览BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved){ BOOL result; // eax@9 if ( fdwReason == 1 ) { hModul...原创 2019-05-03 19:43:16 · 433 阅读 · 0 评论 -
LPK木马分析-02
序言接着上回的分析, 分析另外三个重要函数,这三个函数除了域名不一样, 没什么太大差别, 所以只分析一个即可.StartAddress获取函数 v0 = LoadLibraryA("kernel32.dll"); GetProcAddress(v0, &ProcName); v1 = LoadLibraryA("kernel32.dll"); GetT...原创 2019-05-02 21:55:09 · 259 阅读 · 0 评论 -
LPK木马分析-01
序言在吾爱破解上面找的一个, 练习用的, 本篇文章分析第一个线程的作用.WinMainint __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd){ struct WSAData WSAData; // [sp+0h] [bp-1A0h]@1 ...原创 2019-05-02 20:16:27 · 473 阅读 · 0 评论 -
锁机木马篇-01
锁机木马分析序言离开了CTF, 踏上了恶意代码分析这条不归路. 第一次分析, 拿了一个锁机木马, 非常简单, 主要是总结一下思路, 留给恶意代码分析的新手.样本信息md5: b030d1effac0bc3e0c7dcf89cc6f4960sha1: 4da2ca78e5abd5703e4875112692f1672ddc4b41名称: 锁机木马功能: 修改账户密码, 但对文件不...原创 2019-04-24 13:19:29 · 1495 阅读 · 1 评论