0x01 前言
样本取自https://any.run/, 本文主要记录分析过程、思考技巧,
0x02 基本信息
NAME |
Lab03-03.exe |
MD5 |
e2bf42217a67e46433da8b6f4507219e |
SHA1 |
daf263702f11dc0430d30f9bf443e7885cf91fcb |
系统平台 |
Windows |
开发语言 |
C++ |
表1-1 样本信息
测试环境 |
WinXP Windows 7 |
测试工具 |
开发协会,OD,PEID,等等。 |
表1-2说明了测试环境和工具。
1.1查壳
图1-1
1.2导入表
图1-2:表格查看器导入
1.3资源表
图1-3 PE细节
图1-4 资源表
第1号Procex 监视器
(1) 停止活动蒸发者
图1-5 释放文件
2)程序退出
主应用程序终止, 使蒸发者程序到位 。
图1-6 程序退出
3)进程对比
在微软 Windows 操作系统中, Svchost 是一个系统文件 。据微软称,Svchost是从 DLL 执行的服务的一般主机程序名称。这一软件对于该系统的正确运行至关重要。它不会停止。其中一些服务是从向这一进程注入某种东西开始的。因此,这份文件将经历许多阶段。
图1-7 文件对比
1.5 锥虫监测
监视可识别主要应用产生的蒸发者。
WriterFile 和 CreateFile 函数与实用软件分析函数相关。 日志文件工作如下:
图1-8 文件操作
图1-9 键盘记录
因此,执行后,应用软件释放了蒸气主机,然后关闭了主程序,使蒸气主机可以创建实用的磁器分析.log,记录键盘数据。
0x03 样本分析
1.1 两项主要职能
图2-1:初级职能
函数 2. 2
跟随 sub_ 40149D 函数, 并将参数 BufSize 和 Buffer 发送到 GetSystem 日志A, 该系统目录是搜索系统目录的一条途径, 包括动态链接库和驱动器等系统文件 。
图2-2中的40149D
在调用 GetSystem 日志A 方法后, eax的长度为 19, ebp+0xC 。
路径。
Sub_40149D 在图2-3中重新出现
图2-4再次出现40149D
3 2 函数子40132C
运输参数指定了 PE 文件的位置 。
图2-4显示了40132C子返回。
图2-6 子40132C的函数
图2-8 函数子40132C
资源名判断
图2-8 资源名称选择
or_4010EA 函数 2. 4
函数, 构造 svchost, 然后应用到内存, 存储由线条在内存中收集的内存值 。
图2-9 设置蒸气鬼。
主应用程序终止, 且未分析已释放的 PE 文件 。
图2-10 程序差异
0x04 总结
当您执行一个程序时,将创建一个名为 Svchost 的程序,而主程序将自动离开,留下程序来捕捉键盘和文件操作信息。
声明
以上是该条的原始作者,因分发该条所提供资料而造成的任何直接或间接影响和损失,完全属于用户的责任,而Long White Hills攻击实验室和文章作者都不应对此负责。
如要复制或分发该文章,则必须保证该文章的副本,包括版权声明等所有材料,必须保证宣布准许长白山进攻性实验室,不得任意编辑、减少或出于商业原因以任何方式使用该文章的内容。