吾愛破解 - LCG - LSG |安卓破解|病毒分析|001aa.com

 找回密碼
 注冊[Register]

QQ登錄

时时彩平台只需一步,快速開始

搜索
查看: 3268|回復: 25

[PC樣本分析] 一個感染性病毒的分析

  [復制鏈接]
樓主
Assassin_ 發表于 2020-5-8 16:08 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
本帖最后由 Assassin_ 于 2020-5-8 16:25 編輯

一個感染性病毒的分析

前言

本人功法尚淺,如果有分析錯誤或者描述錯誤的地方,還請指正。

基本信息

基本信息

文件名稱 3D Pinball
MD5 e3de42be0f6b1d0c9dac45bfaf23a3e4
SHA256 f6cb28c646c0dafbd34baad35390cd0972879c5d82047da44c47443606bc282c
大小 512.50 KB (524800 bytes)
類型 Win32 EXE
CPU(32/64) 32
作用(下載/釋放)
打包/編譯語言
編譯/保存日期 2008-10-16 19:14:58
dll 導出函數
pdb pinball.pdb

靜態分析

利用IDA查看并不能看出什么有價值的信息,不過通過字符串搜索可以搜索出一些字符串,暫不知道作用,根據反匯編代碼應該被加密

動態分析

動態調試

利用fs段查找Kernel基址

时时彩平台根據API名稱獲取指定API,VirtualProtect

时时彩平台修改內存屬性,不過可以看到,該樣本并沒有提前申請空間而是在資源節中進行占位,提前申請了多余的空間進行后邊的代碼解密,我們可以看到修改內存屬性為可讀可寫可執行

對比一下節表和內存布局,可以看到確實是多申請了空間

时时彩平台之后進行異或解密,代碼進行簡單的xor解密,分為兩段,總大小為00011ADC+000026E0

时时彩平台解密之后在解密重定位表,然后對代碼進行重定位 ,我們可以看到重定位的基址在0x01860000而不是該模塊基址0x01000000

时时彩平台重定位完成之后,利用push\ret方法跳轉到解密后代碼

對API進行Hash,獲取相應API,分別為GetEnvironmentStringsA、   GetModuleHandle、GetSystemDirectoryA,該樣本都是采用該種方式進行API。

創建線程

时时彩平台我們先略過線程,向下分析,看到對程序入口點進行內存屬性修改

修改入口代碼

利用jmp直接跳回原代碼入口點,發現此時代碼為真正的正常軟件的代碼

我們回到之前創建的線程進行分析

解密字符串

时时彩平台利用GetProAddress獲取API地址

时时彩平台之后加載庫"advapi32.dll"、"sfc_os.dll"、"sfc.dll"、"Shell32.dll"、"user32.dll"、"ole32.dll"、"crtdll.dll"等并獲取相應的API

創建字符串、并嘗試打開文件C:\Windows\system32\gazv-mx-dis37,如果存在,直接退出

然后進入一個函數,該函數包括

时时彩平台當前用戶名并查看是否包含“ SERVICE”或“ SYSTEM”字符串

时时彩平台比較用戶名是否存在計算機名稱中

比較系統環境變量是否存在"systemprofile"和"ervice"字符串

如果以上幾種情況不存在,則嘗試打開互斥體"kkq-vx_mtx",如果已經存在該互斥體則直接退出否則

創建互斥體kkq-vx_mtx1

注冊名為kkq-vx的窗口函數

嘗試打開互斥體gazavat-svc,若存在結束線程

設置DACL和和所有者

設置SeTakeOwnershipPrivilege權限,使其對當前系統任意文件具有寫權限

解密一些反病毒服務和更新服務

然后就開始系統服務感染

时时彩平台遍歷服務,獲取服務信息,我們可以看一下獲取信息的結構體

typedef struct _QUERY_SERVICE_CONFIG {
    DWORD dwServiceType;
    DWORD dwStartType;
    DWORD dwErrorControl;
    LPTSTR lpBinaryPathName;
    LPTSTR lpLoadOrderGroup;
    DWORD dwTagId;
    LPTSTR lpDependencies;
    LPTSTR lpServiceStartName;
    LPTSTR lpDisplayName;
} QUERY_SERVICE_CONFIG, LPQUERY_SERVICE_CONFIG; 

可以看到服務類型,啟動類型,程序路徑,服務名稱 等

比較是否為exe文件 ,如果不是exe文件則直接跳過,否則繼續執行

如果存在以下svchost.exe\rundll32.exe\consent.exe\rsvp.exe\chrome.exe字符串,則直接跳過

修改過程為讀取服務文件,進行處理,然后將添加了惡意代碼的內存數據寫入臨時文件,利用copy直接覆蓋文件完成替換

修改配置文件為自啟動

如果為之前解密的反病毒服務或者更新服務,直接修改為DISABLE

可以看到原文件和注入后的文件相差很大

时时彩平台文件感染,利用FindFirstFile和FindNextFile循環遍歷,進行感染,不在詳述

之后創建兩個線程

时时彩平台一個線程對文件進行追蹤,以確保全部文件感染

第二個:

收集計算機信息,并利用WMI "SELECT FROM Win32_Processor"、"SELECT FROM Win32_BaseBoard"、"SELECT FROM Win32_DiskDrive"、"SELECT 时时彩平台 FROM Win32_ComputerSystemProduct"進行信息查詢

然后尋找%ProgramDate%目錄下的.dat文件

讀取該文件,申請空間等操作,再次猜測他為執行內存執行代碼

时时彩平台此時我們發現該文件并沒有網絡操作如何進行文件傳輸和執行呢。

之前我們錯開了一個跳轉,即三種情況的那個若存在以上任意一種情況,執行下邊的函數,所以我們分析那個函數

創建gazavat-svc互斥體

时时彩平台這里和之前的相同的操作就不重復了,如對服務的注入,只說以下不同操作

隱藏操作中心圖標

时时彩平台繞過Windows安全中心

關閉篩選器

之后還有五個線程

功能分別為

  1. 遍歷注冊表,安裝或者卸載指定軟件

  1. 監視文件,進行注入與之前的線程相同

  2. 查訊信息,讀取執行%ProgramDate%目錄下的.dat文件與之前的線程相同

  3. 關閉安全相關服務

  1. 遍歷進程,嘗試結束殺軟進程

以上就是五個線程的基本分析,之后還有最后一個函數

解密域名

时时彩平台最后進行連接,接收數據,寫入文件等操作

时时彩平台以上,基本流程算是分析完畢,此致,敬禮。

附件:
密碼:001aa.com
vir.7z (298.13 KB, 下載次數: 18)

免費評分

參與人數 10威望 +2 吾愛幣 +110 熱心值 +9 收起 理由
Jerry_bean + 1 + 1 用心討論,共獲提升!
gaosld + 1 + 1 熱心回復!
Re:me + 1 + 1 用心討論,共獲提升!
solly + 3 + 1 用心討論,共獲提升!
Peppermint + 1 我很贊同!
獨行風云 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Hmily + 2 + 100 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Psyber + 1 謝謝@Thanks!
小妖不吃象 + 1 + 1 我很贊同!
kk52140 + 1 + 1 熱心回復!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
lmxhn 發表于 2020-5-9 09:31
感染 性病毒……哈哈
推薦
caller1 發表于 2020-5-8 19:26
推薦
lishun2233 發表于 2020-5-9 08:13
沙發
小妖不吃象 發表于 2020-5-8 18:34
看看,剛學不是很能看得懂。
3#
zhangdexi 發表于 2020-5-8 18:51
看成性感的病毒了
5#
Psyber 發表于 2020-5-8 20:35
謝謝分享
6#
完美的荷包蛋 發表于 2020-5-8 21:18
感謝分享
7#
alittlebear 發表于 2020-5-8 22:01
一個感染 性病毒 的分析。。。
10#
Hwj626 發表于 2020-5-9 09:54
zhangdexi 發表于 2020-5-8 18:51
看成性感的病毒了

哈哈哈哈,太強了,我也是
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( )

GMT+8, 2020-5-25 10:50

Powered by Discuz!

时时彩平台Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表
时时彩平台官网-欢迎您 时时彩平台注册-爱问知识人 时时彩平台app-互动百科 时时彩平台投注-百科词条 超级快三-搜霸天下 时时彩平台邀请码-即可搜索 时时彩平台开户-新浪爱彩 彩神大发快三-一定牛 彩神大发快三官网-360云盘 彩神大发快三注册-百度耨米