宏观结构
EXE调用dll文件,dll文件读dat文件并解密dat文件得到第二个dll文件
微观分析
1,样本为32位exe可执行文件
2,IDA分析初步分析
通过Getprocaddress调用dll文件的run@4函数
3,分析dll文件
export窗口找run函数,反汇编一下,连续调用了sub_10001BC0,sub_10001BF0,1BC0没什么东西,看1BF0
通过getproadress和getmodulefilenamA获取了文件名称和路径,获取后有加解密操作
看1000,应该是自写的readfile函数,
动态看一下获取的文件,10DC处下个断点
样本文件夹下的一个dat文件,结合上面的加解密操作,应该是通过dll文件获取dat文件路径和名称,然后解密dat文件
4,获取dat文件解密之后的内容
从上面看,解密之后返回给15D0运行,在解密之后,运行之前下断点,
找到2408,下断点一步步执行,
将数据窗口的46D600一直到496000的二进制复制到010重命名1
5,分析解密之后的文件
dll文件
ida分析
跳到10001D11,然后触发其函数10001C80,1C81里面还有10001B60,F5发现很多函数,一个个分析。
大概的意思:case1:修改环境变量利用注册表进行了自启动操作,权限维持,并在%userprofile%路径下创建文件
Case2:创建互斥体,判断文件是否存在,存在则退出,不存在则创建,如果输入了-net则运行其网络相关的东西,如果没有输入,则进行提权
Case3:使用shell打开会话,并且会话是通过winodows窗口进行传输,错误代码不等183则继续运行代码
在1000909E可以看到操作的注册表目录为
本文作者:意
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/185589.html
必填 您当前尚未登录。 登录? 注册
必填(保密)