大灰狼远控木马分析
<title></title>
样本
执
⾏
流
程
1.
样本
概
况
1.1
样本
信
息
F
ile
:
菲
律
宾
确
诊
新
型
肺
炎
病
毒
.
e
x
e
S
i
z
e
:
217088
b
yt
e
s
MD
5:
30
C
13
ED
8030
DDA
8
A
578
E
822
B
60
E
3
B
24
FSHA
1:
A
54
F
9
C
32425
AD
9
FDBA
48938418508
BA
54582
EDE
6
CRC
32:
1
B
8896
E
5
1.2
测
试
环
境
及
⼯
具
运
⾏
平
台
:
W
i
n
d
ows
7
X
64
系统
监
控
⼯
具
:
⽕
绒
剑
调试
⼯
具
:
IDA P
ro
、
OD
2.
沙
箱
监
控
打
开
N
62.
dll
⽂
件
(
解
密
该
⽂
件
)
释
放
⾃
身
到
系统
⽬
录并
启
动
写⼊
的
注
册
表
键
值
3.
逆
向
分
析
3.1
菲
律
宾
确
诊
新
型
肺
炎
病
毒
.
e
x
e
分
析
PE
⽂
件
基
本
信
息
3.1.1
⼊
⼝
函
数
检
查
当
前
系统
版
本
配
置
分
辨
率
。
判
断
系统
版
本
设
置
屏
幕
分
辨
率
3.1.2
p
a
y
l
o
ad
的
下
载
与
解
密
检
查
p
a
y
l
o
ad
⽂
件
是
否
存
在
:
⽂
件
不
存
在
,
则
下
载
N
62.
dll
:
⽂
件
存
在
则
读
取
N
62.
dll
,
检
查标
识
是
否
⼀
致
检
查
p
a
y
l
o
ad
标
识
动
态
调 试
下
查
看
到
p
a
y
l
o
ad
打
开
位
置
:
读
取
C
:\
P
ro
g
r
a
m
F
ile
s
\
A
pp
P
a
t
h
\
N
62.
dll
检
查
p
a
y
l
o
ad
存
在
且
标
识
正
确
后
,
解
密
N
62.
dll
,
并
加
载
它
,
遍
历
导
出
表
寻
找
到
p
a
y
l
o
ad
的
需
要
的
导
出 函
数
地 址
:
D
ll
F
u
U
p
g
r
ad
rs
动
态
调 试
d
ump
解
密
后
的
N
62.
dll
, 下
图
可
以
看
到
解
密
后
的
PE
⽂
件
魔
数
”
M
Z
”
。
N
62.
dll
解
密完
成
3.1.2.1
解
密
算
法
解
密
函
数
观
察
解
密
操
作
特
征
,
得
知
加
密
算
法
为
RC
4
算
法
,
其
为
对
称算
法
,
通过
简
单
的
异
或
实
现
加
解
密
。
RC
4
算
法
初
始
化函
数
加
解
密
函
数
3.1.2.2
加
载
p
a
y
l
o
ad
:
N
62.
dll
通过
读
取
PE
⽂
件
关
键
字
段
:
i
m
ageba
s
e
加
载
基
址
、
s
i
z
e
o
fi
m
age
加
载
在
内
存
中
的
⼤
⼩
。
根
据
基
址
和
⼤
⼩
,
在
基
址地址
申
请
相
应
⼤
⼩
的
空
间
,
加
载
dll
并
修
改
内
存属
性
为
可
执
⾏
。
3.1.2.3
获
取
并
调
⽤
导
出函
数
D
ll
F
u
U
p
g
r
ad
rs
解
析
导
出
表
实
现
⼿
段
:
根
据
加
载
基
址
获
取
数据
⽬
录
表
,
获
取
到
数据
表
的
第
0
项
:
导
出
表
地址
。
遍
历
导
出
表
得
到
需
要
的
函
数
地址
。
对
⽐
导
出函
数
名
称
简
单
验
证
地址
⾮零
后
,
样本
直
接
调
⽤
D
ll
F
u
U
p
g
r
ad
rs
函
数
,
参
数
为
⼀
段
密
⽂
与
密
钥
。
调
⽤
D
ll
F
u
U
p
g
r
ad
rs
([
密
⽂
],[
ke
y
])
N
62.
dll
导
出
表
D
ll
F
u
U
p
g
r
ad
rs
地址
3.2
p
a
y
l
o
ad
-
N
62.
dll
D
ump
得
到
N
62.
dll
,
⽂
件
被
加
壳
(
upx
壳
)
。
N
62.
dll
⽂
件信
息
N
62.
dll
脱
壳
后
信
息
3.2.1
导
出函
数
D
ll
F
u
U
p
g
r
ad
rs
动
态
调 试
查
看
函
数
调
⽤
时
的
寄 存
器
、
堆
栈
与
内
存
信
息
:
D
ll
F
u
U
p
g
r
ad
rs
调
⽤
函
数
D
ll
F
u
U
p
g
r
ad
rs
⾏
为
基
本
描
述
:(
1
)
传
⼊
参
数
分别
为
密
⽂
和
密
钥
(
2
)
解
密密
⽂
,
将
得
到
的
明
⽂
赋
值
给
各
个
全
局
变
量
(
3
)
明
⽂
内
容
包
括
服
务
器
信
息
,
各
类
设
置
的
参
数
(
4
)
复
制
⾃
身
到
系统
⽬
录
运
⾏
,
并
设
置
开
机
⾃
启
(
5
)
创
建
多
个
注
册
表
键
值
(
6
)
连
接
服
务
端
,
并
创
建
线
程
接收
处
理
服
务
端
指
令
(
7
)
主
要
远
控
功
能
包
括
:
⽂
件
管
理
、
屏
幕
监
视
、
摄
像
头
记
录
、
⾳频
记
录
、
键
盘
记
录
、
远
程
s
hell
、
系统
管
理
。
解
密
并
根
据
明
⽂
赋
值
解
密密
⽂操
作
:
异
或
根
据
明
⽂
给
各变
量
赋
值
获
取
本
进
程
路
径
检
查
运
⾏
在
系统
⽬
录
创
建
服
务
开
机
⾃
启
D
ll
F
u
U
p
g
r
ad
rs
查
询
注
册
表
检
查
⾃
身
服
务
是
否
开
启
:
检
查服
务
查
询
注
册
表
D
ll
F
u
U
p
g
r
ad
rs
检
查服
务
完
成
,
开
始
连
接
服
务
端
,
并
获
取
功
能
分
发
函
数
O
n
R
ec
v
i
v
e
:
连
接
服
务
端
3.2.2
连
接
服
务
端
样本
与
服
务
端
通
讯
使
⽤
TCP
so
cke
t
,
h
ost
与
port
均
为
前
⽂
解
密
的
明
⽂数据
。
H
ost
:
91.193.102.149
P
ort
:
0
x
51
S
o
cke
t
通
信
连
接
完
成
,
创
建
线
程
接 收
服
务
端
数 据
,
并
处
理
对
应
指
令
:
创
建
线
程
:
r
ec
v
&
O
n
R
ecei
v
e
3.2.3
接收
&
处
理
指
令
线
程
上
节
中
,
连
接
服
务
端
完
成
后
,
则 创
建
线
程
接 收
并
处
理
服
务
端
指
令
。
新
线
程
基
本
操
作
:(
1
)
接收
服
务
端
数据
;(
2
)
解
密
数据
(
r
c
4
算
法
);(
3
)
解
析
数据
包
获
取
指
令
;(
4
)
分
发
功
能
执
⾏
O
n
R
ecei
v
e
函
数
。
具
体
⻅
下
图
。
接收数据
,
并
解
密
解
析
获
取
指
令
,
并
执
⾏
功
能
分
发
函
数
3.2.4
功
能
分
发
功
能
分
发
函
数
O
n
R
ec
v
i
v
e
地 址
如
下 :
O
n
R
ec
v
i
v
e
地址
O
n
R
ec
v
i
v
e
地址在
函
数
D
ll
F
u
U
p
g
r
ad
rs
中
,
随
服
务
端
地址
、
服
务
端端
⼝
、
创
建
的
本
地
服
务
名
称
⼀
同
保
存
到
结
构
体
对
象
(
类
对
象
) ,
作 为
参
数 提
供
给
各
种
成
员
函
数
引
⽤
。
获
取
功
能
分
发
函
数
地址
O
n
R
ec
v
i
v
e
分
发
执
⾏
主
要
功
能
如
下,
包
括
:
⽂
件
管
理
、
屏
幕
监
视
、
摄
像
头
、
键
盘
记
录
、
录
⾳
、
系 统
管
理
、
远
程
s
hell
等 等
。
O
n
R
ec
v
i
v
e
3.2.4.1
⽂
件
管
理
⽂
件
管
理
3.2.4.2
屏
幕
监
控
基
本
流
程
为
:
扫
描
光
标
资
源
保
存
,
扫
描
屏
幕 并
转
化
为 位
图
,
将
数 据
发
送
。
屏
幕
监
视
线
程
屏
幕
监
视
初
始
化函
数
发
送
图
⽚
数据
3.2.4.3
摄
像
头
压
缩
视
频
数据
,
并
发
送
XV
i
D
视
频
编
码
3.2.4.4
键
盘
记
录
拦截
键
盘
消
息
记
录
键
位
虚
拟
码
读
取
记
录
⽂
件
发
送
3.2.4.5
录
⾳
录
⾳
3.2.4.6
S
hell
管
理
远
程
运
⾏
c
m
d
,
并
获
取
回
显
3.2.4.7
系统
管
理
操
作
各
项
系统
设
置
4.
⽹络
⾏
为
4.1
服
务
端
主
机
信
息
IP
地址
为
91.193.102.149
;
P
ort
端
⼝
为
81(0
x
51)
、
9090(0
x
2382)
。
4.2
上
线
⽅
式
除
C
&
C
服
务
器
接 收
消
息
,
还
额
外
有
三
种
上
线
⽅
式
:
其
他
3
种
上
线
⽅
式
其
它学
习
教
程
。
点击关注,共同学习!
安全狗的自我修养
