非法非非法

摘要： 与前三个样本类似，增加了循环 样本分析 阅读全文

摘要： 样本信息 与Lab06-01、Lab06-02类似，多出一个函数 字符串信息 导入表信息 样本分析 样本没有太多操作 检查网络连接状态 如果存在网络，访问http://www.practicalmalwareanalysis.com 获取第5个字符 根据返回的第5个字符做不同的操作： 'a'. 创建 阅读全文

摘要： 与Lab06-01类似 阅读全文

摘要： 样本 该样本只是为了熟悉IDA分支结构，并无恶意代码在里面 main函数 第一个call 另外两个call是printf函数 阅读全文

摘要： 样本信息 字符串信息 导出表信息 导入表信息 资源分析 样本分析 导出表有Install字样的三个函数，看看是否是安装dll的函数 无法使用OD的LOADDLL.EXE进行加载。 说明不是有效的PE，无法使用LoadLibrary函数加载这个DLL。只能静态阅读代码了。 dll功能很多 IDA阅读 阅读全文

摘要： 样本信息 字符串信息 导入表信息 样本分析 样本运行时检查运行条件： 命令行参数个数是否大于1 如果参数等于1，检查注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS\Configuration 如果以上检查不通过，删除自身 如果命令行参数个数是1，且查询注 阅读全文

摘要： 样本信息 字符串信息 导入表信息 资源信息 通过浏览这个资源感觉这个资源里的内容是与0x41异或之后的内容 还原之后是一个PE文件 样本分析 Lab03-03.exe分析 从资源释放出另一个文件，解密后得到一个PE文件 写入位置：C:\Windows\system32\svchost.exe 以挂起 阅读全文

摘要： 样本信息 字符串信息 导入表信息 ##导出表信息 样本分析 Install函数 ServiceMain函数 SetAgent 创建工作线程 ThreatProc 线程功能 连接C2，接收C2指令（Y29ubmVjdA==（继续下一次接收）、cXVpdA==（关机）、Y21k(执行后门函数)） Bac 阅读全文

摘要： 样本信息 壳信息 无(PEID显示有壳，但其实仅仅是用汇编写的，加入了太多的混淆。) 字符串信息 导入表信息 样本分析 IDA分析 样本有太多的花指令影响静态阅读代码。好在代码不多。花点时间还是能在IDA里分析出来，不过需要结合动态分析。 以行为作为切入点 样本运行后载入的模块情况 样本使用的句柄情 阅读全文

摘要： 样本信息 字符串信息 导入表信息 资源信息 资源提取 资源PE信息 资源字符串 资源输入表 样本分析 加载psapi.dll,获取关键函数 遍历所有的进程，查找winlogon.exe 找到后劫持winlogn，将自己提权，给Winlogon.exe创建一个立即执行的远程线程（sfc_os.dll. 阅读全文