一个木马的分析(一)

最新推荐文章于 2021-11-03 10:40:24 发布
最新推荐文章于 2021-11-03 10:40:24 发布
阅读量899 收藏 1
点赞数
分类专栏: 木马病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wu_353021/article/details/50783305
版权

文件MD5:130862496f0fd7a4d6dcb519a06f9f80
分析完毕之后大概的结论有:
1)将自身拷贝到其他文件夹中,然后删除自身
2)结束指定进程,启动宿主进程
3)向系统进程注入代码
4)写启动项注册表
5)下载文件
6)查询DNS信息
下面是具体分析步骤
1)初步分析
首先用火绒对程序进行初步的分析
这里写图片描述
可以看到程序 Win32.Trojan.e6d.exe启动后创建了svchost.exe,而后又创建了mspaint.exe文件,对比系统的svchost.exe可以初步判定它是恶意代码
这里写图片描述
接着在系统过滤中,可以看到这个程序所执行的动作,居然有这么多
这里写图片描述
通过过滤动作可以看到
这里写图片描述
程序分别在写入了两个文件,分别是C:Windows\system32\svchost.exe和C:Windows\system32\mspaint.exe。
过滤动作 FILE_write 可以看到
这里写图片描述
又向系统中几个路径写入了文件,其中还有 ScreenSavePro.scr屏幕保护程序
遍历目录的话,似乎没有发现什么特别的东西
这里写图片描述
只有遍历三个文件目录,分别是
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\Administrator\Local Settings\Temp
C:\Documents and Settings\Administrator
关于注册表可以看到
这里写图片描述
分别往启动项写了三个程序
这里写图片描述
如图,程序分别向不同的进程注入,可以发现它是遍历整个进程列表,然后向每个进程进行注入
关于网络连接
这里写图片描述
可以看到有两个地址
关于行为监控,我们可以看到,病毒创建mspaint.exe之后,将原本路径下面的镜像文件即源文件Win32.Trojan.e6d.exe进行了删除,然后源程序入侵了svchost.exe进程。
至此,我们已经对程序进行了初步分析,接下来进入静态分析和动态分析
2)静态、动态分析
这里写图片描述
IDA可以看出,进入入口之后,判断时候已经开启了进程,如果没有通过CreateMuteA创建互斥量,这里我们没有打开两个进程,所以
这里写图片描述
可以看到程序得到路径之后,将自身的镜像文件删除了
这里写图片描述
还是同样的道理,将自身文件复制到 Application Data,并将文件名改为ScreenSaverPro.scr ,而上则是将文件改为temp.bin,使用的是同样的API即CopyFileA,作用都是混淆视听
这里写图片描述
这里写启动项,路径为 SOFTWARE\Microsoft\Windows\CurrentVision\Run
今天先分析到这里

白菜无罪
关注
专栏目录
木马分析方法
07-19 1719
isno  最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。  由于“广外
linux病毒木马分析,Linux平台“盖茨木马分析
weixin_42557803的博客
05-14 1265
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
木马分析
qq_45157635的博客
06-19 998
木马分析 原理 1.木马是隐藏在正常程序中的具有特殊功能恶意代码,是具备破坏,删除和修改文件,发送密码,记录键盘,实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 2.木马的传统连接技术: 一般木马都采用C/S(client/server,即服务器/客户端)运行模式,因此它分为两部分,即客户端和服务前端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出
一款木马分析
03-21 1207
 by nbw4 NE365  为了配合kanxue老大倡议的多发文,加上近来有些乏,找个别的东西分析一下耍耍。随便从网上下了个木马生成器,是个所谓的下载者,就是Downloader。  名字叫什么 木马基地八一极限下载者,木马么,都喜欢搞得比较牛的样子,其实都比较龌龊,技术和人品一样龌龊。    附件是木马生成器,建议先运行一下看看,生成器无毒。  我下面分析的是这个生成器产生的木马,配置信息就
木马分析(隐藏分析
lalalalala~~
11-03 1161
实验目的&要求: 了解木马隐藏技术的基本原理 提高木马攻击的防范意识 明确木马技术的发展方向 学会使用木马防范的相关工具 实现实验所提到的命令和工具,得到实验结果 预备知识 木马隐藏的技术 程序隐藏: 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。 程序捆绑方式是将多个exe程序链接在一起组合成一个exe文件,当运行该exe文件时,多个程序同时运行。程序捆绑有多种方式,如将多个exe文件...
病毒木马防御与分析
Antz Uhl Kone
01-15 897
病毒木马防御与分析 病毒包和工具包下载:Github 一.前言 二.建立对手动查杀病毒技术的正确认识 1.病毒分析方法 2.病毒查杀步骤 3.必备知识 * 1) 熟悉windows系统进程 * 2) 熟悉常见端口与进程对应关系 * 3) 熟悉windows自带系统服务 * 4) 熟悉注册表启动项位置 三.详解Windows随机启动项目——注...
一款 android 木马分析1
08-03
一款 android 木马分析1
论文研究-一种基于多层联合分析的HTTP隧道木马检测方法.pdf
07-22
针对现有的基于网络层或传输层的木马通信行为检测方法应用到HTTP隧道木马的检测中识别精度较低的问题,提出一种基于多层联合分析的HTTP隧道木马检测方法。从应用层、传输层和网络层三个层面提取HTTP会话过程中区分...
木马分析专家个人防火墙 2007 v8.7
10-30
木马分析专家个人防火墙为您的计算机提供全面的保护,有效地监控任何网络连接。通过过滤不安全的服务,防火墙...木马分析专家不仅是查杀木马工具,更是一个安全分析审核工具,它提供了十余种安全审核功能,将许多安全审
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux平台下Rootkit木马分析与检测的重要性主要体现在以下几个方面: * 保护系统的安全性,防止Rootkit木马的攻击 * 提高系统的可靠性和稳定性,防止系统崩溃 * 保护用户的隐私和数据安全,防止黑客攻击 Rootkit...
实例讲解木马分析方法
[智能天空教程区 Smart-sky]
02-09 1042
以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留
木马分析方法学习整理
相信未来!
05-26 1383
0x00 木马分析之旅 (待续) [1] RegSnap—注册表分析工具 [2] 怎样把任意exe程序注册成windows系统服务(手动注册服务) [3] Process Monitor监控目录 - 监控文件被哪个进程操作了 [4] Process Monitor—监控Windows系统的注册表、进程、文件系统、网络等信息 [5] 使用wireshark常用的过滤命令 [6]...
木马病毒分析笔记
m0_45503137的博客
05-06 2008
1.样本概况 1.1样本信息 文件: C:\Users\86134\Desktop\火\02156056304b0ef8122f0363efee43ec64013dfe.exe 大小: 57344 bytes 文件版本:1.00 修改时间: 2020年4月21日, 12:23:06 MD5: 26D9D3DE6426BB6F9D5F6B4039C3A1C0 SHA1: 02156056304B0E...
木马分析-01
Bill
05-05 445
序言 在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待. 总体分析 程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务. 主程序 1.WinMain ... /* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...
木马分析-02
Bill
05-06 271
序言 接着上回分析,这回分析释放出来的EXE文件. 功能 设置服务名对应的处理函数. 函数分析 0x401D00 GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径 v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, O...
木马分析(控制分析)实验
weixin_30443813的博客
10-29 431
一、实验目的 理解和掌握木马传播和运行的基本原理 在虚拟机上模拟木马传播和感染 认识常见的木马控制功能 加深对木马的安全防范意识 二、实验内容 介绍与木马相关的基本概念 配置木马文件 测试木马的各项控制功能 使用Wireshark工具尝试分析木马的控制过程 三、要求环境 木马控制端及受控端生成程序:上兴远控 网络通信数据嗅探工具:Wireshark W...
一个木马程序
白话机器学习
05-24 1115
服务端DLL Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->// rspDoor.cpp : Defines the entry point for the DLL application. // #include "stdafx.h" #inc
实验一木马分析(隐藏分析)实验
qq_30600405的博客
10-27 5513
实验一木马分析(隐藏分析)实验
一个邮件钓鱼木马分析 (一)
热门推荐
浪子_三少(邮箱:basketwill@qq.com)
07-31 1万+
已发表于本人专栏:  http://www.freebuf.com/column/142406.html 最近收到一个钓鱼木马邮件,内容形式如下:   邮件里有个链接,当点开链接后会下载一个doc文档,打开文档会发现有宏代码   经过一些列解密后悔执行shell执行宏命令,打印出这个信息出来后发现,原来执行了powershell命令   是从网
实战恶意软件分析:病毒木马解析指南
"Practical Malware Analysis 是一本关于病毒木马分析的专业书籍,书中包含大量实践案例,适合读者亲手操作,提升在病毒分析木马分析、逆向工程和软件调试方面的技能。本书受到多位业内专家的高度评价,被认为是对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值