Lab03-02

目录

样本信息

字符串信息

导入表信息

导出表信息

样本分析

  • Install函数

  • ServiceMain函数

  • SetAgent

  • 创建工作线程

  • ThreatProc

线程功能
连接C2,接收C2指令(Y29ubmVjdA(继续下一次接收)、cXVpdA(关机)、Y21k(执行后门函数))

  • BackDoorFun

查杀思路

  • 删除注册表键:
    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Service/IPRIP下的
    Description
    DepenOnService
    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Service/IPRIP/Parame

总结

服务里可以执行很多代码。可以实现长久驻留。

技巧

调试dll,强制调用dll中的导出函数(可设置参数,记得设置断点)

  • 可以附加调试svchost

posted on 2023-04-08 23:12  非法非非法  阅读(19)  评论(0编辑  收藏  举报

导航