190401 逆向-华硕供应链木马样本分析

最新推荐文章于 2023-05-18 10:47:10 发布
最新推荐文章于 2023-05-18 10:47:10 发布
阅读量2.1w 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/88953984
版权

随便谷歌了一个样本来,md5:55a7aa5f0e52ba4d78c145811c830107

恶意代码在__crtExitProcess中调用
在这里插入图片描述

GetModuleHandleW(0)拿到本模块的加载基址,然后通过偏移调用IAT中的VirtualAlloc
这里IDA的Hexrays不知道为什么值优化错了,对着0x4709f找了半天都没找到东西,看了一下汇编才发现是0x11c27c
在这里插入图片描述
接着同样的方法取了偏移0x16ec78的值,然后这次IDA找不到这个地址
在这里插入图片描述
于是去找了PE文件解析器来看段映射,发现RVA16E0000是.rsrc段
在这里插入图片描述

于是算了一下文件偏移通过脚本取值
在这里插入图片描述

用脚本解密并放到idb内解析即可
先是16个字节,然后第二个int,即9-12字节表示长度,再读取0x5600并解密一次

from ida_bytes import patch_bytes
#s = "592929864B7E59A9263B457E6F5E21C0".decode("hex")
f = open("Setup.bin","rb")
data = f.read
最低0.47元/天 解锁文章
奈沙夜影
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zbot木马分析
u011636170的专栏
11-22 2514
木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。木马主要的四个阶段: 0x01:释放样本到临时文件夹,并启动0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启
病毒木马查杀实战第016篇:U盘病毒之逆向分析
热门推荐
Gleam的专栏
04-20 1万+
比对脱壳前后的程序       我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本:图1       可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器。那么下面就载入脱壳后的样本来看
一个QQ木马逆向分析浅谈(附带源码)
weixin_30247781的博客
08-04 398
程序流程:首先注册自己程序的窗口以及类等一系列窗口操作,安装了一个定时器,间隔为100ms,功能搜索QQ的类名,如果找到就利用FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL)找到当前运行的QQ号,之后隐藏QQ主界面,弹出自己的界面,利用socket发送输入的密码到指定的IP、端口,达到窃取用户的QQ密码。程序很简单不过,不过代码确实有...
C/C++ 快读
Steve·Curcy
10-05 4052
有时候数据量比较大的时候,即使使用C语言提供的scanf函数也是会超时,这个时候就需要快读函数了。之所以可以使用快读,是因为getchar函数要比scanf函数快,所以自己编写的快读函数要更高效一点。还有就是,在快读函数中使用大量位操作代替加减乘除来减少时间的消耗,也是一个很好的选择,数据量越大,效率提升就越明显。这里在判断是否是数字的时候建议千万不要使用isdigit函数,并不知道这个函数到底里面是什么,但单从函数调用的耗时可能也很多,所以还是老老实实用条件判断。下面给出模板代码,不管是什么类型的快读都只
端口扫描的CS木马样本分析
最新发布
深耕安全技术研究
05-18 1759
CS拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,服务扫描,自动化溢出,多模式端口监听,木马生成,木马捆绑,socket代理,office攻击,文件捆绑,钓鱼等多种功能。下图是本次分析样本的基本属性,这个样本的图标通过伪装成中国移动的图标,通过上文的理论基础,我们可以直接猜测出它是采用不分段的摸索,这个样本就是一个loader,它直接执行shellcode的功能。通过下图可以看出这个样了里面主要由pyc文件、pyd文件、dll文件、zip文件构成的,其中高危端口检测.pyc就是样本的主程序。
CTF逆向-简单虚拟机指令类题目分析
11-26
CTF逆向-简单虚拟机指令类题目分析CTF逆向-简单虚拟机指令类题目分析
供应链管理分析诊断模型(成本参考).pptx
05-14
SCOR(Supply Chain Operations Reference)模型则帮助企业分析供应链结构,包括采购、制造、交付和逆向物流等流程。 缓冲存货点分析(DP点)是供应链中关键的决策点,它们用于减缓不同环节间的供需波动,例如按...
论文研究-基于博弈论的逆向供应链定价策略分析.pdf
09-20
论文研究-基于博弈论的逆向供应链定价策略分析.pdf, 逆向供应链与传统供应链不同,传统供应链中的定价策略在逆向供应链中不再适用.为了解决该问题,基于单一制造商和单一...
Windows逆向安全-游戏逆向分析.pdf
08-08
本公开课旨在: · 给未接触过二进制逆向安全的朋友进行“技术性科普” · 给想入门二进制逆向安全的朋友进行“知识以及技术方向”框架的梳理 · 对二进制逆向安全中的“游戏逆向分析”进行学习框架的梳理与技术演示
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析,使用IDA静态分析全过程
实战|记一次2022某地HVV中的木马逆向分析
蚁景网安学院
01-05 740
声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。前言事情是这样的,国庆前期某地HVV,所以接到了客户通知他们收到了钓鱼邮件想要溯源直接下载文件逆向分析一波。钓鱼邮件,图标什么的做的还是挺逼真的,还真的挺容易中招的,但是这里的bug也明显,丹尼斯没有客户端,百度一下能够辨别这是钓鱼的。逆向分析查壳工具DIE看是否加壳当然其他查壳工具也...
某远控木马样本分析-1
ZK_1874的博客
12-13 975
某远控木马样本分析-1
Redis漏洞攻击植入木马逆向分析
weixin_33717117的博客
03-08 299
阿里云安全 · 2015/11/17 14:24作者:梦特(阿里云云盾安全攻防对抗团队)0x00 背景2015年11月10日,阿里云安全团队捕获到黑客大规模利用Redis漏洞的行为,获取机器root权限,并植入木马进行控制,异地登录来自IP:104.219.xxx.xxx(异地登录会有报警)。由于该漏洞危害严重,因此阿里云安全团队在2015年11月11日,短信电话联系用户修复Redis高危漏洞,2...
pc恶意程序木马分析 启动流程 逆向分析 数据解密
mhx117的博客
08-02 626
pc恶意程序木马分析 启动流程 逆向分析 数据解密
逆向漏洞-木马攻击与防御技术
Coisini的博客
05-27 690
分析过程:服务器被黑安装Linux RootKit木马
Jinmindong
02-21 826
疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于Linux Rootkit恶意软件方面的相关知识点吧。全球高端的黑客组织都在不断进步,做安全更应该努力学习,走在黑客前面,走在客户前面,加强自身安全能力的提升才能应对未来各种最新的安全威胁事件,才能帮助客户更好的解决安全问题。这个样本是一个Linux。
一个简单木马分析及接管利用
wangqiuyun的专栏
06-28 7116
最近一段时间,感觉工作很是杂乱无章,博客也基本没时间来写,基本每月一篇,其实每写一篇也代表目前我自己的工作状态及内容。最近搞逆向这一块,找了些样本分析例子,自己也研究了一下,感觉有不少好东西,当然这些样本很多都过时了,甚至淘汰了,但对于学习而言还是有点用处,这里介绍一个简单木马分析及其接管利用。 本文分析木马样本来自吾爱破解论坛,早之前2010年时就有人分析过:http://www.52poj
161227
whklhhhh的博客
12-27 290
1625-5    王子昂    总结《2016年12月27日》  【连续第88天总结】 A. 俄罗斯方块 150% 五子棋 40% B. 中午回来继续写俄罗斯方块,果然还是没想到好办法实现方块的旋转,只好一个一个把死坐标打进去。 不过运行起来意外的好,虽然代码冗长了一些,不过没有不流畅之类的问题。多几个判断语句并不会拖慢多少速度啊,都是懒和不想做的问题。 做完了以后又慢慢的添加了
逆向物流与绿色供应链:战略、战术及运营决策规划综述
"这篇学术文章是对绿色供应链网络设计中逆向物流的战略、战术和运营决策规划的综合回顾。作者Farahanim Misni、Lai Soon Lee探讨了如何通过逆向物流实践来减轻供应链的环境影响,同时关注了不同决策层面(战略、战术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值