跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

病毒分析第一讲 病毒分析注意事项 主要功能简单分析

Anonymous
Anonymous
木马病毒分析

精选回复

发布于

        病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能

一丶认识木马和病毒的区别

特洛伊木马不同于病毒。有人认为木马是病毒,其实不是。

说出区别。

特洛伊木马:

木马没有破坏性,主要功能是收集用户信息,控制机器等等。

病毒:

一般来说,病毒具有破坏性行为,如格式化驱动器号、修改计算机文件和感染。

二丶分析病毒的前提准备

1.在分析病毒样本之前,首先要把病毒的名字修改一下.

例如:

1197364-20171123034335196-2067248258.png,带。v后缀。

2.使用虚拟机进行分析(当然你可以用真机分析,^_^),并且建立虚拟机快照

1197364-20171123034442618-1630496352.png虚拟机软件

3.建立快照

在建立快照之前,建议配置所有应该使用的工具。一旦配置好一切,就可以开始正常操作了。

- 1197364-20171123035329665-2137732592.png

4.观察病毒行为

1.第一种分析方法

关键API断点

创建文件创建进程打开进程,写进程内存虚拟alloc ex,服务相关,注册表相关,网络相关,因为只要是病毒就一定会操作。

2.第二种分析方法

使用一个工具来观察它的行为,看看它在虚拟机中做什么。

工具1197364-20171123035704321-1091012929.png

工具将被打包并上传。

1197364-20171123035846743-338753050.png

安装后的界面:

设置:

工具-选项-保护-设置保护模式

1197364-20171123040044727-102780231.png

1.学习模式,可以检测特定程序使用的关键API,比如:创建文件,修改内存.但不能阻止他们。

2.正常模式下,调用这些关键API后,会询问是否允许操作。

3.安静模式,不操作也不提示。

三丶在学习模式下,观看病毒行为

一丶分析病毒的基本行为

此时,我们可以将病毒样本放入虚拟机并运行它。如果建立了快照,它就可以运行。然后我们可以恢复快照。

病毒样本:

1197364-20171123040426586-678336806.png

拖放到虚拟机中运行,首先打开Mal病毒分析工具。

1197364-20171123041352305-741824830.png并运行。

第一步是初步分析。

1197364-20171123041732836-851935886.png

1197364-20171123041835946-514044368.png

可以断定

1.主样本将释放SampleSrv.exe的后代。

2.主体被创建,SampleSrv.exe运行。

3.主体不断修改其他进程的记忆。

4.女儿SamPleSrv.exe释放了DestToplayer.exe。

5.字体SamPleSrv.exe是由DestToplayer.exe创建和运行的。

6.Desttoplayer.exe掌管iexplore.exe。

7.Iexplore.exe修改注册表的值。

8.Iexplore.exe不断修改这份文件。

从而得到流程图。

1197364-20171123042541993-1397297308.png

二丶根据第一次分析,分析具体怎么做.

根据第一个分析,我们发现Iexipore.exe(IE浏览器)不断修改文件(被感染的文件)。

1.附加感染文件

此时我们附加OD,然后在CreateFile中破点,因为被感染的文件肯定会打开文件。

1197364-20171123042825196-237952560.png

OD由于创建进程时窗口是隐藏的,所以存在额外的进程。

2.打开模块,关键api下断点

E alt on

1197364-20171123043058540-233110309.png

Ctrl视图创建文件

3.关键API下断点

1197364-20171123043243540-2031984921.png

4.栈回溯看其谁调用

1197364-20171123043349196-726667791.png

1197364-20171123043419102-2071813153.png

5.查看节,看下属于哪个节

1197364-20171123043545711-878002917.png

属于堆内存

这个节日始于

2001000

是D000。

我们跳到这一节的地址。

1197364-20171123043749696-1163502141.png

在内存中看到,是一个EXE?MZ凯投

让我们检查OEP,然后将其转储到内存中。

1197364-20171123043851758-743457370.png

B0一开始是我们的PE头,所以OEP的切入点是7C79。

直接复制存储器

6.Dup内存

1197364-20171123044211118-1058625382.png

首先这个工具是OD插件自带的。网上可以找到很多。(工具将被打包)

7.IDA分析dump出来的文件

1197364-20171123044453102-964056792.png

7.1.分析导入表以查看谁引用了CreateFile

1197364-20171123044706399-601087536.png

按X键查看谁被引用。

1197364-20171123044737071-1317661720.png

一步一步跟进。

1197364-20171123045243446-1593873072.png

我们第一次关注这里,可以点击上面的评论继续在线关注,看看是谁引用的。

注意没有我的评论多。我们需要安排他们。

设置-常规-显示交叉引用-设置你喜欢的号码。

选项-通用-交叉引用-反汇编(非图形)-设置你喜欢的。

1197364-20171123045637961-1371145892.png

逐层展开交叉引用,大致按F5看一下。其中一个就是修改PE文件。您可以临时修改此引用以修改PE部分。

1197364-20171123050009758-1497544060.png

可以一层一层的看到遍历文件,所以我们来修改一下函数名。

1197364-20171123050131180-1583984990.png

继续跟随在线看获取磁盘驱动器的功能。

1197364-20171123050327508-1218990147.png

按X键查看谁调用了这个函数。我们发现它是由一个线程创建的,所以这个线程会看到谁使用了它。

然后是DLLEntry,是DLL主DLL的入口点。

由此可以断定这是一个DLL,注入到IE中,然后执行程序,不断循环通过文件感染exe文件。

那我们就要知道怎么注射。我们在上面的沙盒里没见过。我们明天会解释的。

链接:https://pan.baidu.com/s/1eRSOjpK密码:19jt

作者:IBinary来源:https://www.cnblogs.com/iBinary/

坚持很简单也很轻便,但是真正实现起来需要很长的时间。当你把坚持作为你的方式时,你总是会成功的。

如果你想学习,有问题请加入群。群号:725864912(收费)群名:逆向学习团队群内有大量的学习资源。有很好的学习氛围有定期的直播答疑,涉及司法取证,解密外部抗外部病毒驱动过保护VT等技术。我期待你的加入。

详情请点击链接查看热门博客。

https://www.cnblogs.com/iBinary/p/7572603.html

这篇文章来自博客公园,作者是iBinary。未经允许转载前可以联系我。对于爬虫,如果发现保留起诉的权利。www.cnblogs.com/ibinary/p/7882980.html https://号

欢迎大家关注我的微信微信官方账号。不时更新文章。更新技术。关注微信官方账号后,请养成不做白嫖的习惯。欢迎大家的欣赏。也希望大家在看完微信官方账号的文章后,不要忘记点击收藏转发,点击观看的功能。

o_21062107294320210621152919.png

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。