当前位置: 首页 > news >正文

bootstrap网站案例优化大师免费下载

bootstrap网站案例,优化大师免费下载,少儿编程加盟亏本,用vue做网站的实例样本概况 样本信息测试环境以及工具分析目标 具体行为分析 0利用查壳工具查看1.利用PChunter2.手工清理3.利用火绒剑进行主要行为分析 恶意行为的一个简要小结 4.脱壳病毒恶意行为分析(OD结合IDA双剑合璧) 知识点扩展1: 知识点扩展1小结: 知识点扩展2知识点扩展3知识…

    • 样本概况
      • 样本信息
      • 测试环境以及工具
      • 分析目标
    • 具体行为分析
      • 0利用查壳工具查看
      • 1.利用PChunter
      • 2.手工清理
      • 3.利用火绒剑进行主要行为分析
        • 恶意行为的一个简要小结
      • 4.脱壳
      • 病毒恶意行为分析(OD结合IDA双剑合璧)
        • 知识点扩展1:
          • 知识点扩展1小结:
        • 知识点扩展2
        • 知识点扩展3
        • 知识点扩展4(编辑函数标签:)
        • 知识点扩展5(有关seh链的:)
        • 知识点扩展6(Delphi语言中传参)
    • 恶意代码分析
    • 专杀工具的编写
    • 总结

样本概况

样本信息

文件:spo0lsv.exe
大小:3001字节
MD5:512301C535C88255C9A252FDF70B7A03
SHA1:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:自我复制,感染可执行文件,修改网页文件内容,修改注册表,删除备份文件,关闭杀毒软件窗口,服务与进程

测试环境以及工具

测试环境:win7 32bit
分析工具:OD,IDA,火绒剑,PChunter

分析目标

分析病毒行为与程序具体执行流程;

具体行为分析

0利用查壳工具查看

发现其加了FSG壳
这里写图片描述

1.利用PChunter

打开Pchunter之后发现可疑进程:
这里写图片描述
查看启动项那一项:
这里写图片描述
这里写图片描述
查看驱动,服务等可疑项
未发现异常

查看网络连接:
发现可疑进程的网络连接:
这里写图片描述
使用抓包工具(WSExplorer)查看可疑流量:
这里写图片描述
这里写图片描述
提取样本(利用hash工具)
将路径下文件提取到压缩到本地,并修改扩展名为vir
这里写图片描述
这里写图片描述

2.手工清理

a.结束可疑进程 spo01sv.exe(在PChunter中的spo01sv.exe右击—>结束进程)
b.删除可疑进程启动项:如下图
这里写图片描述
这里写图片描述

3.利用火绒剑进行主要行为分析

a.先暂时只勾选下面这两个动作,其他都不勾选:
这里写图片描述
这里写图片描述
点击确定:
这里写图片描述

发现生成了一个病毒exe:
这里写图片描述
注册表操作:
这里写图片描述

这里写图片描述
点击确定之后:
设置启动项:
这里写图片描述
进程操作:
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
网络操作:
这里写图片描述
这里写图片描述
这里写图片描述
实用技巧:利用火绒剑中的动作详细信息中的调用栈可以定位到相关动作信息
这里写图片描述
这里写图片描述
其他行为:
这里写图片描述
这里写图片描述
执行监控:
这里写图片描述
执行CMD命令,删除网络共享!
这里写图片描述

恶意行为的一个简要小结

1.自我复制样本到c盘,c/Windows/driver/目录下面
启动c/Windows/driver/spo01sv.exe(样本)
这里写图片描述
这里写图片描述
2.在每一个目录下面创建了Desktop_.ini
这里写图片描述

4.脱壳

手脱FSG2.0过程:
运行至下图中位置:
这里写图片描述

按F9运行:
这里写图片描述
EDI数据窗口中跟随:
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
按F9继续:
这里写图片描述
继续F9(经过若干次的F9以后):IAT修复完成
这里写图片描述
这里写图片描述
同时将IAT中的7FFFFFFF改成00000000
这里写图片描述
下面按F7跳至OEP:
这里写图片描述
这里写图片描述
下面DUMP文件:(D278为默认,一般不会错,查看此时OEP:0040D278)
这里写图片描述

保存为1.exe
这里写图片描述
修复IAT:
这里写图片描述
D278为上面在OD里面dump时候的oep的值
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
选择1.exe
1.exe是从OD里面dump下来的
这里写图片描述
1_.exe是自己生成的
这里写图片描述

脱完壳以后进行深度扫描:(发现其语言为Delphi6.0-7.0)
这里写图片描述
这里写图片描述
至此,脱壳完成!

病毒恶意行为分析(OD结合IDA双剑合璧)

1.将dump修复之后的文件使用IDA打开;
按shift+F5:
这里写图片描述
2.在IDA中用Shift+F5打开签名窗口:
右键加入delphi的签名库:
这里写图片描述
这里写图片描述
按快捷键:ctrl+F搜索delphi:
这里写图片描述
这里写图片描述
IDA与OD双剑合璧
OEP处的对比:
这里写图片描述
这里写图片描述

进入到函数里面,堆栈中跟随:
这里写图片描述
这里写图片描述

知识点扩展1:

这里写图片描述
借此机会,讲讲交叉引用与导入表的联合应用:
双击此API:
这里写图片描述
按Ctrl+x:
这里写图片描述
双击下面框中的API,就会跳往调用RegCreateKeyExA这个API的函数
这里写图片描述
可以发现RegCreateKeyExA这个API是在上面这个框里面的这个函数(j_RegCreateKeyExA)中的,下面对这个函(j_RegCreateKeyExA)数进行交叉引用
这里写图片描述
Ctrl+x,交叉引用:
这里写图片描述
来到了上一层函数:
这里写图片描述
这里写图片描述
这里写图片描述
来到了上一层:
这里写图片描述
这里写图片描述
这里写图片描述
跳往上一层:

这里写图片描述
再次跳往上一层,交叉引用:
这里就是接近OEP的地方了;

知识点扩展1小结:

结合导入表,查看关键API,利用交叉引用这个强大的功能可以直捣黄龙,追根朔源!

知识点扩展2

一般而言,黑色表示非系统函数,上面的天蓝色表示系统函数,
这里写图片描述

知识点扩展3

OD和IDA配合的又一个例子:
在OD里面不知道这个函数的功能,想要知道它大概的功能,可以这么做:
利用这个函数在OD中的地址,在IDA里面搜索:
显而易见,这个函数就是一个字符串拼接库函数;
这里写图片描述
说明:如果OD和IDA加载基址不一样的话可以按照下面操作调整:
这里写图片描述
这里写图片描述

知识点扩展4(编辑函数标签:)

这里写图片描述
这里写图片描述

知识点扩展5(有关seh链的:)

.seh链的:
栈顶是指向下一个seh的地址,栈顶的下一行是当前处理异常的函数所在地址,如果当前处理不了,就发给下一个seh:
这里写图片描述
这里写图片描述
依次类推,直到seh的链尾
这里写图片描述

知识点扩展6(Delphi语言中传参)

Delphi语言中是用寄存器传参的:
这里写图片描述

恶意代码分析

分析思路:
从OEP处开始的代码:
猜测sub_405250的依据:
调用的第一个sub_405250函数,其参数有”xboy”,后面另一次调用之中,参数有字符串”whboy”,并且在调用sub_405250函数之后,又调用strcmp函数,之后又有判断返回值的代码,如果不对,则退出进程
这里写图片描述
这里写图片描述
动态跟踪sub_405250函数:
这里写图片描述
观察LstrArrayClr函数;

这里写图片描述
这里写图片描述
可以发现调用当前代码的函数(其实就是主函数):
这里写图片描述
这里写图片描述
这里写图片描述
继续跟,来到主函数线程中:

这里写图片描述
寻找定位字符串!(IDA与OD结合)
这里写图片描述
这里写图片描述

当然也可以在OD中进行定位:
这里写图片描述

第一个恶意代码函数分析:

v43 = &savedregs;v42 = &loc_408781;v41 = __readfsdword(0);__writefsdword(0, (unsigned int)&v41); // Write memory to a location specified by an offset relative to the begining of the fs segment,这里0为偏移量,后面一个参数为要写入的数据System::ParamStr(0, &v71);//就是在exe文件后面可以跟参数,paramstr 获取的就是exe文件后面跟参数。
如有可执行文件project1.exe 在运行中输入e:\project1.exe 123 456 789 
那么paramstr(1)='123' paramstr(2)='456' paramstr(3)='789',这里paramstr函数括号里面应该只有一个函数,它这里伪代码可能有点问题,
unknown_libname_123(v71, &v72);

重点部分1:
复制自身到系统驱动目录下面,然后执行拷贝的程序
Teminatevirusprocess这个函数的猜测,是因为在IDA中进入到这个函数之后发现了teminatevirusProcess这个关键API,至于为什么为是结束的是病毒,根据这个函数括号里面的关键字符串来猜测的,结束掉病毒进程是为了让自己隐藏起来不让杀毒软件找到
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述

感染文件部分:
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述

感染函数:

这里写图片描述
这里写图片描述
这里写图片描述
可以发现,病毒感染了C:\program Files 目录下的exe,过程如下:
1读取原文件至内存
2.复制病毒至感染路径,覆盖原文件
3.在感染之后的exe上追加原标识
4.在感染之后的exe上追加感染标识
如下:Whboy+原文件名+随机数
这里写图片描述
这里写图片描述

第二个恶意代码函数里面:
这里写图片描述
这里写图片描述

进入回掉函数:
遍历文件目录行为:
这里写图片描述
这里写图片描述
这里搜索机器上的可用分区,然后感染分区中的脚本文件,但是除了上图中的”WINDOWS”,”WINNT”,”system32”等文件夹。
这里写图片描述

这里写图片描述
小技巧,在IDA中:
将伪代码识别出来的特征API在IDA view视图中快速定位出来alt+t键
这里写图片描述
这里写图片描述
回到主线:
感染后病毒在相应的文件夹中写上已感染标记文件Desktop_.ini。

这里写图片描述
这里写图片描述
如果文件是GHO(备份),则将其删除
即:病毒会删除机器中GHO文件,使得中毒后无法使用ghost还原
这里写图片描述

进入包含SetTimer这个API的函数:
这里写图片描述

进入SetTimer的回掉函数:
1.搜索字符串进行定位:

这里写图片描述

ALT+T进行字符串搜索:
这里写图片描述
这里写图片描述

设置定时器,将病毒自身复制到各分区根目录下命名为setup.exe,并生成autorun.inf文件
这里写图片描述

创建文件并向文件里面添加数据!
这里写图片描述
连接本地网络
这里写图片描述

执行恶意代码的第三个函数:
这个函数中调用了6个定时器:
这里写图片描述
这里写图片描述

进入第一个回掉函数sub_40CEE4:
OpenProcessToken获取访问令牌;
利用LookupPrivilegeValueA可以获取本地唯一标识符(LUID)
OpenProcessToke和LookupPrivilegeValueA获取的信息被AdjustTokenPrivileges利用,进行提权:
这里写图片描述

Ctrl+x进行交叉引用
这里写图片描述
这里写图片描述

检查是否有杀毒软件,如果有,则让其关闭
这里写图片描述

与此同时,结束以下进程:
这里写图片描述
这里写图片描述
添加设置注册表选项:
这里写图片描述
以上为第一个回掉函数;
下面看第二个回掉函数:
使用InternetOpen初始化WinINet函数,然后使用InternetOpenUrl打开指定链接,最后用InterReadFile读取到网页源代码,下载恶意代码:
这里写图片描述
创建里两个回掉函数,估计不会干什么好事:
这里写图片描述

执行cmd命令:
这里写图片描述
利用cmd命令删除共享文件
怎么样利用字符串定位函数:
这里写图片描述
Alt+B键来定位:
这里写图片描述
删除杀毒软件启动项,关闭杀软服务:
这里写图片描述
这里写图片描述
打开解密之后的网页:
先解密然后从网址下载恶意代码:
这里写图片描述
这里写图片描述
这里写图片描述
至此,分析基本结束!

专杀工具的编写

参考我写的这篇博客:
熊猫烧香专杀工具编写

总结

最后以一张流程图来总结一下熊猫烧香的过程:
这里写图片描述
(注:图中清楚应为 清除!)

http://www.hrbkazy.com/news/22644.html

相关文章:

  • 盈润企业网站管理系统如何进行网站推广
  • 建设银行造价咨询中心网站线上推广网络公司
  • 网站后台怎么修改文字lol今日赛事直播
  • 网站制作的公司搜索引擎营销的实现方法有哪些
  • 一个网站的建设需要哪些流程最近一周新闻热点回顾
  • 徐州手机网站制作刷外链
  • pc网站手机版开发电商还有发展前景吗
  • 为什么WORDPRESS后台很卡网站优化快速排名软件
  • 做网站在哪里可以找到高清壁纸指数分布的分布函数
  • 常见的独立站建站工具有哪些如何注册自己的网站
  • 做同业业务一般关注哪些网站合肥关键词排名工具
  • 深圳网页设计兴田德润实惠兰州seo实战优化
  • 做代理网站用什么软件营销策划与运营
  • Wordpress建站用什么系统贴吧aso优化贴吧
  • 网站制作常见问题 图片版权百度销售平台怎样联系
  • 如何做网页游戏网站百度上海推广优化公司
  • wordpress 白色百度seo软件是做什么的
  • 影视广告片拍摄厂家seo最新快速排名
  • 云南网站设计平台站长之家查询域名
  • 共享办公wework西安做推广优化的公司
  • 做婚礼邀请函网站qq群引流推广平台免费
  • 潍坊网站建设制作搜索引擎google
  • 个人电脑做网站关键词排名怎么做上首页
  • 免费网站空间10g国际网站平台有哪些
  • 做网站的花费搜索引擎seo是什么意思
  • 免费的网站模板哪里有如何做谷歌优化
  • 南通网站建设制作百度网页版入口
  • wordpress 权限 分类seo技术分享
  • 建设英文网站的必要性百度推广的广告靠谱吗
  • 做网站 空间还是服务器百度网站提交了多久收录