Lab03-01
样本信息
壳信息
- 无(PEID显示有壳,但其实仅仅是用汇编写的,加入了太多的混淆。)
字符串信息
导入表信息
样本分析
IDA分析
- 样本有太多的花指令影响静态阅读代码。好在代码不多。花点时间还是能在IDA里分析出来,不过需要结合动态分析。
以行为作为切入点
-
样本运行后载入的模块情况
-
样本使用的句柄情况
-
对操作进行过滤后的情况(文件写入和注册表修改)
-
样本后续只是联网操作了。
推测
- 由于目前目标网址只能正常访问,但是可能作者删除了一些内容。导致网络后续不会收到数据,不知道原始逻辑会不会还有网络命令的传播。
- 所以在IDA中一些其它的恶意行为已经无法再观察到。
查杀思路
- 删除C:\WINDOWS\system32\vmx32to64.exe
- 删除注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver
总结
- 聚沙成塔
技巧
- 传参时可以使用CALL指令的特性,把一些固定的字符串,放在CALL指令后,起到迷惑别人的作用。
//遍历初始化链
mov eax,fs:[0x30]
mov eax,[eax+0xc]
mov esi,[eax,+0x1c]
ldsd [esi]
[eax+8];得到kernel32.dll的加载基址
