Thực hành phân tích mã độc

Imports

Lab01-01.dll thì chúng ta các hàm sau:

- Sleep: mã này trì hoãn phân tích là theo

- CreanhãnutexA: khóa mutex phiên mã

- Socket: ý trình giao qua socket

- WSAStartup: Winsock DLL quy trình

- inet addr: có tìm IP C&C ( máy soát mã

- Htons: mà C&C trên, chúng ta có suy mã máy / / Mã này có thi xa vì nó CreateProcessA và nó có trong vòng vô sleep vòng thông qua Sleep

Lab01-01.exe thì có các hàm sau:

- MapViewOfFile: ánh xem tin lý vào Mã có các thay tin sau khi nó ánh

- CreateFileMappingA: ánh tin cho tin

- FindNextFileA: t kê vào tin theo tìm FindFirstFile

- CopyFileA: sao tin trên, chúng ta có suy mã tìm tin và / ghi tin có trong thông qua

MapViewOfFile Nó sao chép / tin sang trí khác

Phân tích tin Lab01-02.exe

Hình phân tích Lab01-02.exe hình

Phân cách tra các cùng giá SHA256.

Unpacking the File

PEiD trên tin Cho tin gói UPX, trong EP" bên

Chúng ta hãy xem cách IDA Pro nhìn tin phân này

Chúng ta exe gói cách UPX Cho nay tôi

2 nén là nén chính dòng

UPX Cách còn là làm theo cách công lõi cách olly dbg

Chúng tôi qua trong dàng cách công, nó có trong bài theo tôi tin phân gói upx công upx và sau upx.exe -d [ tin phân óng gói]

Hãy tin phân nén lên vi-rút

Tính ngày 22 tháng 1 2016, phát vi-rút là 32/54 cho Lab01-02_unpacked.exe.

Imports

- InternetOpenA: các WinINet, chúng ta có tác nhân dùng nào

- CreateMutexA: khóa mutex phiên mã

- CreateServiceA: cho máy nhân cho

- OpenSCManagerA: khi CreateService trình lý

- StartServiceCtrlDispatcherA: Khi trình lý soát quy trình , nó quy trình hàm StartServiceCtrlDispatcher chính quy trình hàm này càng càng sau khi nó (trong vòng 30 giây)

Chúng ta mã này cài duy trì

Nó có truy http máy C2

1.2.4 Phân tích xác nh máy ch

Trong Lab01-02.exe nén), chúng ta có quan sát các thành sau trong tin thi

Chúng ta đã tìm thấy tên (Malservice) trong (services.msc) và tra cứu DNS cho http://www.malwareanalysisbook.com (184.168.221.22) Tác nhân sử dụng là Internet Explorer 8.0 và mutex (HGL345) trên máy nhân Mã này tự cài đặt trên máy nhân để duy trì lâu dài Chúng tôi kiểm tra xem máy có mã mutex (HGL345) này hay không, cùng với mã URL và user agent được mã hóa.

Chúng ta có các quy trong /

7983a582939924c70e3da2da80fd3352ebc90de7b8c4c427d484ff4f050f0aec

Tính ngày 22 tháng 1 2016, có 43/54 phát vi-rút cho Lab01-03.exe ng vi rút và PEID phát tin phân này gói

Trong IDA Pro, chúng ta có r có 2 hàm trong import, quá ít thi

Các không thông tin tin phân này gói

Cerbero Profiler cho tiêu không có tên, tiêu kích là

3000 và kích thô là 0 là ký trình gói FSG

Hãy nén tin thi gói này Ta không

Chúng ta sử dụng IDA Pro để tìm OEP và thực hiện quá trình debug trong OllyDbg Mục đích là để xác định địa chỉ hàm thông qua GetProcAddress, đồng thời xử lý gói tin đã được nén ba lần.

- Ghép vào OEP trong dung mã

Vì cách phá @GetProcAddress, chúng ta sang

Để tìm OEP trong OllyDbg, chúng ta có thể sử dụng các plugin liên quan và thiết lập breakpoint tại hàm @GetProcAddress Sau đó, tiến hành phân tích mã cho đến khi gặp lệnh RETN 8.

Bây ta xóa @ GetProcAddress và mình 0x004050E9 này cho ta tranh quy trình mã dùng có tìm trên cách thông qua IDA Pro

Bây hãy vào trình nên khi vào

GetProcAddress Bây hãy quan sát

Chúng ta có trình xây cho

CoCreateInstance qua và phân tích cách trình import ý sau khi xong, trình gói có sang OEP

Sau khi qua ra mã opcode trên khá khác so các opcodes trên Các trên 0x405??? này

Tại địa chỉ 0x401090, hãy tìm OEP trong hàm này Làm thế nào để xác định OEP trong IDA Pro? Chúng ta sẽ tra cứu mã tại 0x401090 và thực hiện các thao tác đọc/ghi (R/W).

Tại địa chỉ 0x401090, chúng ta xem mã opcode 0x405022, thực hiện lệnh di chuyển byte từ ESI sang EDI tại 0x401091 Khi quan sát 0x401090, chúng ta thấy giá trị 0x55 được ghi lại, cho thấy không gian còn lại sau khi mã đã được nén Quá trình nén mã diễn ra trong khi trình gói nén thực hiện nhiệm vụ của nó Để debug, chúng ta sử dụng Plugin OllyDumpEx, cài đặt plugin này để hỗ trợ quá trình.

Để thay đổi Entry PE thành 1090, chúng ta cần tìm OEP tại địa chỉ 0x401090, trong khi hình ảnh bắt đầu tại 0x400000 Việc thực thi tệp exe này liên quan đến IAT, bao gồm các hàm LoadLibraryA và GetProcAddress Chúng ta sẽ mã hóa khi xây dựng IAT (mã gói) vì OEP sẽ trở thành mã import Hãy thực hiện công việc ImpRec và quy trình debug theo danh sách ở trên cùng.

Thay OEP cùng bên trái) thành 1090 vào Tìm IAT và cùng vào Get Imports các hàm

We have encountered an issue with FThunk, which is not functioning correctly The error indicates a problem with CoCreateInstance in combase.dll, but it should actually reference ole32.dll To resolve this, we need to fix the dump and focus on the compressed data, specifically the LoadLibraryA and GetProcAddress functions, as they are essential for building the Import Address Table (IAT) Our primary concern remains with CoCreateInstance, as outlined in the MSDN documentation.

CLSID Sau là cú pháp cho CoCreateInstance

HRESULT CoCreateInstance( _In_ REFCLSID rclsid,

Khi phá ollydbg CoCreateInstance, chúng ta có rclsid tiêu -0000-0000-C000- Trong

Registry, giá này Internet Explorer sâu trong ollydbg, chúng ta có hàm

2C ý EDX là con ppv CoCreateInstance

Câu là bù này là gì? chúng ta qua hàm này, Internet

Explorer lên trang web Hãy xem xét các mô- thi trong ollydbg Ieproxy 0x56EF0000 hình

In the analysis of the function within ieproxy.dll at the address 0x56F2d340, we calculate the offset as 0x3D340 by subtracting 0x56EF0000 from 0x56F2d340 Using IDA Pro, we can locate the file at c:\windows\System32\ieproxy.dll and identify relevant offsets that are crucial for Internet Explorer's functionality Additionally, in OllyDbg, we examine the ppv through the reference [EDX + 2C], where EDX holds the ppv value.

T phép toán chúng ta cách hình ieproxy.dll, chúng ta suy ra bù 0x56F27188 - 0x56EF0000 = 0x37188

Trong IDA Pro, chúng ta có này là các khác nhau Vftable CWebBrowserHandler_Interface hình

0x37188 + 0x2c = 0x371b4 == hàm này, bây chúng ta bù hàm quan tâm sau:

Phân tích mã trên trình duyệt internet cho thấy URL http://www.malwareanalysisbook.com/ad.html có thể chứa mã độc Nhà phân tích cần chú ý đến CLSID và các yếu tố liên quan để xác định tính an toàn của mã này Hãy kiểm tra URL trên để đánh giá xem mã có đáng ngờ hay không.

0fa1498340fca6c562cfa389ad3e93395f44c72fd128d7ba08579a69aaf3b126 resource.exe SHA256:

PEID không ý tin gói import IDA Pro có pháp

Tuy nhiên, tin là Cerbero Profiler làm tin mã phân có tiêu MZ (có thi) Hãy nén mã và phân tích nó virus và PEID tìm trong mã

Tính ngày 25 tháng 1 2016, có 45/53 phát vi-rút cho resource.exe

PEID không ý tin phân trích gói import

IDA Pro có pháp, và chúng ta cần phân biên khi sử dụng Cerbero Profiler Đặc biệt, trong ngày / biên Lab01-04.exe, mã phân có nhãn datetime.

Lab-1-04.exe: Ngày 31 tháng 8 2019 06:26:59 (GMT + 8) resource.exe: Ngày 27 tháng 2 2011 08:16:59 (GMT + 8)

ADVAPI32 cho phép chúng ta sử dụng các hàm cao cấp, trong khi Kernel32 hỗ trợ việc ghi tin và truy cập mã Tính năng này giúp quản lý thông tin trên hệ điều hành Windows một cách hiệu quả.

SeDebugPrivilige Sau khi nó hàm 2 sfc_os.dll là hàm CloseFileMapEnumeration

Windows File Protection (WFP) can be disabled through a shell command, which allows modifications to system files without detection by Winlogon This process involves manipulating the system directory at `C:\Windows\System32`, where the original files are replaced with modified versions The method utilizes a specific code that interacts with the Windows API, particularly focusing on the `WinExec` function For further details, refer to the resource at [ntcore.com](http://www.ntcore.com/files/wfp.htm), which discusses the implications and technical aspects of this process.

URLDownloadToFileA: tin url máy nhân GetWindowsDirectoryA: windows máy nhân

WinExec: / các trên, chúng ta có mã tin phân khác URL vào nhân windows và thi nó

Mã tháo thi exe trong temppath\winup.exe trong temppath tham trong các b môi

The executable file located at http://www.practicalmalwareanalysis.com/updater.exe is found in the windows\system32\ directory and is executed via winExec Lab-1-04.exe reports on the machine at temppath\winup.exe and windows\system32\wupdmgrd.exe, while resource.exe also references the same updater URL These files exhibit differences in their behavior, particularly in their encoding methods, which include Rc4, XOR, and Base64 This analysis highlights the obfuscation techniques used to bypass Windows security measures.

2.1.1 T i và cài t công c IDA Pro

M trình Web và truy vào sau công https://www.hex-rays.com/products/ida/support/download_freeware.html công "IDA Freeware" và cài

2.1.2 Phân tích t p tin Lab05-01.dll tin Lab05-01.dll trong công IDA Pro

IDA Pro OK n vào New vào

"PEDymamicLibrary " và OK Lab05-01.dll và file

Trong IDA Pro, n vào Windows, "Functionswindow " vào tiêu "Functionsname" theo tên và di lên file Hình minh trí DLLMain, hình

Trong IDA Pro, Windows, Imports vào Name header theo tên Tìm "gethostbyname" - ý các cái hoa và thành các nhóm riêng

Hình trí gethostbyname, hình hình minh trí gethostbyname trên máy

2.1.5 m các bi n c c b trình con t i a ch

Trong IDA Pro, n vào Windows, "IDA View-A" phím SPACEBAR xem g 0x10001656 và OK

Di lên trên các xét mà IDA thêm vào hàm, kê các bên hình minh các

2.1.6 Tìmm c c a n mã c tham chi u trong chu i

Trong IDA Pro, n vào Windows, Strings theo

String Tìm String"\\ cmd.exe / c" và n vào này này ra xem bên

Trong dòng có "\\ cmd.exe / c", úp vào bên "XREF", ra màu trong hình phímSPACEBAR graph view, hình "\\ cmd.exe / c" trong quy trình bên trái

Kéo xem xem các trình con ba tìm "Hi, Master", hình

vào aHiMasterDDDD tìm thông báo mã nêu rõ ràng

Hình code làm gì, bên là sau hình màu trong hình

2.2 NH N BI T C U TRÚC NGÔN NG C TRONG

Lab06-01.exe SHA256: fe30f280b1d0a5e9cef3324c2e8677f55a6202599d489170ece125f3cd843a03

- phân tích vào ngày 28 tháng 2 2016

- Ngày biên : 2011-01-31 22:15:14 trình con duy main là sub_40100. sub_401000 hình hình trên, có 2 mã trên

InternetGetConnectedState Theo msdn, hàm TRUE có modem k Internet LAN FALSE không có Internet các Internet có không

Sting vào hàm @ 0x40105F là một hành trình dài Qua địa chỉ 0x40105F, chúng ta thực hiện việc in thông báo trên trình này, cho phép tra cứu thông tin trên internet và in ra các thông tin liên quan đến kết nối internet.

Lab06-02.exe SHA256: b71777edbf21167c96d20ff803cbcb25d24b94b3652db2f286dcd6efd3d8416a

- phân tích vào ngày 28 tháng 2 2016

- Ngày biên : 2011-02-02 21:29:05 trình con tiên có 0x0401000 Nó tra internet thông qua InternetGetConnectedState, eax 1 có internet và eax 0 không có trình con tiên 1, trình con hai (0x401040)

Trong hàm http://www.practicalmalwareanalysis.com/cc.htm[ qua InternetOpenURLA Sau nó t tin url và 4 ký tiên là

- có, khác thông báo cho nó không in

The article discusses a 512-byte HTML snippet that includes a reference to a webpage, specifically http://www.practicalmalwareanalysis.com/cc.htm It highlights the use of Internet Explorer 7.5 for parsing the page and analyzing its content The focus is on the parsing process and the output generated from this analysis.

Sau nó sleep trong 60 giây và t thúc các câu sau:

1 trình con tiên main thao tác gì?

3 trình con hai main làm gì?

4 trúc mã nào trong trình con này?

75eb05679a0a988dddf8badfc6d5996cc7e372c73e1023dde59efbaab6ece655

- phân tích vào ngày 29 tháng 2 2016

Hình tin lab6-2 trong IDA

Hình tin lab6-3 trong IDA hình trên, chúng ta có hàm sung sub_401130 Các câu còn trông nhau

Nó có ký phân tích cú pháp sub_401040 và tên thi argv

Lab 6-01

Lab06-01.exe SHA256: fe30f280b1d0a5e9cef3324c2e8677f55a6202599d489170ece125f3cd843a03

- phân tích vào ngày 28 tháng 2 2016

- Ngày biên : 2011-01-31 22:15:14 trình con duy main là sub_40100. sub_401000 hình hình trên, có 2 mã trên

InternetGetConnectedState Theo msdn, hàm TRUE có modem k Internet LAN FALSE không có Internet các Internet có không

Sting vào hàm @ 0x40105F là một hành trình dài Qua địa chỉ 0x40105F, chúng ta thực hiện việc in thông báo trên trình này, cho phép tra cứu thông tin trên internet và in ra thông tin về các mạng internet có sẵn.

Lab 6-02

Lab06-02.exe SHA256: b71777edbf21167c96d20ff803cbcb25d24b94b3652db2f286dcd6efd3d8416a

- phân tích vào ngày 28 tháng 2 2016

- Ngày biên : 2011-02-02 21:29:05 trình con tiên có 0x0401000 Nó tra internet thông qua InternetGetConnectedState, eax 1 có internet và eax 0 không có trình con tiên 1, trình con hai (0x401040)

Trong hàm http://www.practicalmalwareanalysis.com/cc.htm[ qua InternetOpenURLA Sau nó t tin url và 4 ký tiên là

- có, khác thông báo cho nó không in

The article discusses a 512-byte HTML snippet that includes a reference to a webpage, specifically http://www.practicalmalwareanalysis.com/cc.htm It highlights the use of Internet Explorer 7.5 for parsing the page and analyzing its content The focus is on the parsing process and the output generated from this analysis.

Sau nó sleep trong 60 giây và t thúc các câu sau:

1 trình con tiên main thao tác gì?

3 trình con hai main làm gì?

4 trúc mã nào trong trình con này?

Lab 6-03

75eb05679a0a988dddf8badfc6d5996cc7e372c73e1023dde59efbaab6ece655

- phân tích vào ngày 29 tháng 2 2016

Hình tin lab6-2 trong IDA

Hình tin lab6-3 trong IDA hình trên, chúng ta có hàm sung sub_401130 Các câu còn trông nhau

Nó có ký phân tích cú pháp sub_401040 và tên thi argv

Hình trên mô tả cách thức hoạt động của mã thông qua jump Đầu tiên, chúng ta xem xét các câu lệnh, trong đó arg_0 là ký tự vào, ví dụ như 'A' Ký tự 'A' được xem là ký tự a với var_8 bằng 0, ký tự b với var_8 bằng 1, và tiếp tục như vậy Phép so sánh được thực hiện để kiểm tra xem ký tự có lớn hơn e hay không Cuối cùng, chúng ta sẽ xem xét các ký tự từ a đến e.

- tin thi sao chép sang c:\temp\cc.exe thông qua

- C:\temp\cc.exe xóa thông qua DeleteFileA

- Khóa ký Mã có giá c:\temp\cc.exe thêm vào HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run thông qua

RegSetValueExA này làm cho mã

- Sleep trong 100 giây tin: C:\temp\cc.exe ký:

The registry key HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ is associated with the executable C:\temp\cc.exe, which is linked to internet code and can access the web via the URL http://www.practicalmalwareanalysis.com/cc.htm The agent utilized is Internet Explorer 7.5 / pma, which parses the page to check for specific markers and executes actions based on the parsed data, including copying, deleting code, and adding registry keys.

1 So sánh các trong chính chính LAB6-2

3 Hàm này trúc mã chính nào?

5 Có báo trên máy nào cho mã này không?

Lab 6-04

Lab06-04.exe SHA256: cce96e5cb884c565c75960c41f53a7b56cef1a3ff5b9893cd81c390fd0c35ef3

- phân tích vào ngày 22 tháng 2 2016

Chúng ta có vòng for hình trên

Hình minh tác nhân dùng phía sausprintf thêm vào phía sau tác nhân dùng

Tham hình trên, chúng ta có nó p 1440 sleep i là vòng sleep sleep trong 60 giây Vì vòng trong 1440 phút là 24 Tác nhân dùng: Internet Explorer 7.5/pma [ 0-1439 ]

The article discusses the use of Internet Explorer 7.5 as a tool for malware analysis, specifically focusing on the practical application of code tracing on the internet It highlights the importance of monitoring the C2 machine's code execution duration, which is set to one minute Additionally, the article emphasizes the need to parse web pages to identify specific markers within the content.

Ký theo phân tích cú pháp, các tác giả đã sao chép thân vào, xóa mã, thêm khóa ký tính liên và thực hiện lệnh sleep trong 100 giây.

1 khác các chính trong Labs 6-3 và 6-4 là gì?

2 trúc mã nào thêm vào main?

3 khác phân tích cú pháp HTML LAB này và ch các LAB là gì?

4 trình này trong bao lâu? nó

5 Có báo trên nào cho mã này hay không?

Lab 7-01

0c98769e42b364711c478226ef199bfbba90db80175eb1b8cd565aa694c09852 VirusTotal:

- Ngày biên : 2011-09-30 19:49:12 trên phân tích trên IDA Pro, chúng tôi có nhanh chóng xác các mà CreateServiceA sâu vào các mã trong

Hình 2, chúng ta có mã quy trình chính nó và khi các Tên là

Malservice phân mà này là thi truy GetModuleFileNameA

Trong hình trên, chúng ta có mã mutex HGL345 mutex trình thoát mutex là không có 2 phiên nào trình này cùng lúc

Chúng ta cần tìm hiểu về mutex và Malservice Qua việc phân tích, chúng ta có thể phát hiện URL và cách tham chiếu, như thể hiện trong hình 5 Mã của Internet Explorer 8.0 cho thấy tác động của nó tại địa chỉ http://www.malwareanalysisbook.com Chúng ta thấy rằng WaitableTimer được thiết lập là 2100 00:00:00 Theo MSDN về WaitForSingleObject, mã tham số được cung cấp cho trình sẽ báo vào năm 2100 Sau đó, hàm sẽ thực hiện trong khoảng thời gian 20 (14h) như hiển thị trong hình Trong khoảng thời gian 2100 00:00:00, mã này có thể thực hiện các cuộc tấn công DDOS vào http://www.malwareanalysisbook.com, với 20 vòng lặp truy cập vào trang web.

1 Làm nào trình này mã ch khi máy tính

3 ký trên máy phát trình này là gì?

4 ký trên phát mã này là gì?

Lab 7-02

Lab07-02.exe SHA256: bdf941defbc52b03de3485a5eb1c97e64f5ac0f54325e8cb668c994d3d8c9c90

Không tìm mã trong mã

Tham Lab01-03 phân tích trên COM hàm CoCreateInstance Chúng ta có rclsid tiêu -0000-0000-C000- Trong ký, giá này Internet Explorer

Giá riid c thành -CDAF-11D0-8A3E- cho IWebBrowser2 trong ký theo các mã opcodes, chúng ta hàm offset 2Ch, trong Lab 01-03, tôi thích cách ra gì mà offset 2Ch

Nó là hàm Tóm khi thi, trình lên URL http://www.malwareanalysisbook.com/ad.html[being

Khi trình lên và trang web, trình thúc các câu sau:

3 Khi nào trình này thúc thi?

Lab 7-03

3475ce2e4aaa555e5bbd0338641dd411c51615437a854c2cb24b4ca2c048791a

Lab08-03.dll SHA256: f50e42c8dfaab649bde0398867e930b86c2a599e8db83b8260393082268f2dba

Trong LAB 7-3, chúng ta sẽ kiểm tra Lab07-03.exe và Lab07-03.dll Việc này quan trọng vì mã có thể thay đổi khi hai tệp được tìm thấy trên cùng một máy Do đó, cả hai tệp cần được phân tích trên cùng một máy với địa chỉ IP 127 Trong phiên mã này, máy sẽ không được kết nối từ xa.

BÁO LAB này có thể gây khó khăn cho máy tính và có thể gặp vấn đề sau khi cài đặt Không nên tin rằng máy sẽ hoạt động nhanh chóng trong quá trình thi LAB này khó hơn so với các phương pháp khác và cần chú ý để tránh mắc phải các lỗi không đáng có.

Lab01-01 thực hiện phân tích mã độc, trong đó mã độc được mã hóa thành kernel (1) 32.dll Mã này tìm kiếm thông tin và lấy dll này Dll có phiên mã vì mutex, sau đó nó thực hiện giao tiếp (Sleep) với máy chủ điều khiển C&C tại địa chỉ 127.26.152.13.

Mã này được ghi vào tệp exe và có thể vô tình thêm vào mã Sau khi phân tích trong Lab 01, chúng tôi đã tính toán thông qua việc lây nhiễm từ tệp tin khác, cụ thể là kerne (1) 32.dll.

Lab 01, tôi không này nào

Trong Lab07-03.exe, tại địa chỉ 0x004010A0, tôi đã đặt tên cho hàm là modEXE Khi xem xét mã ánh tại dwDesnticAccess, giá trị là 0x0F001Fh, cho thấy rằng không có sự thay đổi nào trong ánh tin lý.

Trong bài viết này, chúng ta sẽ xem xét các mã opcodes liên quan đến kernel32.dll, trong đó có mã scasb và cách thay thế kernel32.dll bằng kerne132.dll thông qua opcode movsd Khi máy tính thực hiện các tác vụ, kerne132.dll sẽ được sử dụng Ngoài ra, trong Lab 01-01, chúng ta cũng sẽ tìm hiểu về mã hóa mutex của dll.

SADFHUHF và dll sao chép vào mã hóa c:\windows\system32\kerne132.dll Chúng tôi có chúng làm ký trên máy

Mã DLL được lưu trữ trong thư mục c:\windows\system32 dưới tên kernel32.dll Để thực hiện việc này, mã sẽ tìm kiếm các tệp tin exe và thay thế kernel32.dll bằng kerne132.dll Quá trình này cho phép DLL hoạt động khi tệp exe được chạy DLL có thể được mã hóa bằng mutex (SADFHUHF).

Sau khi giao dịch (Sleep) C&C tại địa chỉ 127.26.152.13, trên máy chủ, mã được vá để tìm kiếm kerne132.dll trong tệp exe và thay thế nó bằng kernel32.dll Việc thay thế kernel32.dll bằng kerne132.dll nhằm mục đích phòng ngừa các mối đe dọa từ tin tặc.

Khôi toàn vì mã là không dàng các câu sau:

1 Làm nào trình này nó khi máy tính

2 Hai ký trên máy cho mã này là gì?

4 Làm nào có mã này sau khi nó cài

Lab 3-01

- Trình khám phá quy trình

Lab03-01.exe SHA256: eb84360ca4e33b8bb60df47ab5ce962501ef3420bc7aab90655fd507d2ffcedd

- Phân tích vào ngày 27 tháng 1 2016

Phân tích mã tìm trong tin Lab03-01.exe các công phân tích duy mà mã này là ExitProcess kernel32

We can gather additional information about various codes Fortunately, we can monitor the website http://www.practicalmalwareanalysis.com We should keep an eye on the registry paths SOFTWARE\Classes\http\shell\open\command (IExplorer.exe) and Software\Microsoft\Active Setup\Installed Components It is also important to search for vmx32to64.exe, as it may contain virus-related components.

Mã này gói là vì Mã là pháp chúng ta hãy mã trên PEID

Có mã này không gói Tuy nhiên trong phân này là màn hình ollydbg Chúng ta có 0x401259, hàm

0x401265, hàm kernel32.LoadLibraryA chúng ta LoadLibrary

LPCSTR chúng ta nhìn vào vào là con char! vào mã opcode CALL vào Thay vì push, tác này call push trong các

Regshot, chúng ta phát ra mã thi c:\windows\system32\vmx32to64.exe khi Chúng ta có proc mon trên howvmx32to64 vào system32

Chúng ta có hàm http://www.practicalmalwareanalysis.com DNS) và SSL

Theo dõi TCP, chúng ta có 256 byte tìm nhiên

ProcExplorer, chúng ta có mã trong và tay mutex.

Ghi tin vào windows\system32\vmx32to64.exe

Proc Mon cho phép chúng ta xem Registry và tin trong máy tiêu

OllyDbg cách phá LoadLibraryA, chúng ta mã các này

The article discusses the process of calling the LoadLibraryA function in a specific program, Lab03-01, with various memory addresses and file names referenced It highlights the importance of checking for the presence of the executable file "vmx32to64.exe" in the "c:\windows\system32" directory Additionally, it notes that if the WINVMX32 mutex is found, it may indicate the presence of a virus on the machine.

Tên http://www.practicalmalwareanalysis.com

Mã kernel32 có thể được tìm thấy qua 256 byte tại địa chỉ 443 Để xác định cách thức hoạt động của nó, ta cần xem xét PEB tại fs:30h, với bù 0Ch cho Ldr và bù 1Ch cho InInitializationOrderModuleList Kernel32 có hai danh sách liên quan, lý do cho mã bù 8 tại dòng 0x401207 Tuy nhiên, hành vi này không có kernel32 trong.

2, do mã trong hành khác Nhìn vào biên (2008), mã này có vi cho winxp các câu sau:

1 và mã này là gì?

2 Các trên máy mã là gì?

3 Có ký trên ích nào cho mã này không? chúng là gì?

Lab3-02

5eced7367ed63354b4ed5c556e2363514293f614c2c2eb187273381b2ef5f0f9

- phân tích vào ngày 30 tháng 1 2016

Phân tích mã tìm trong tin Lab03-02.dll các công phân tích

Chúng ta có trong IDA Pro có có chúng ta

Nó chí bao hàm UninstallService! cách thi dll theo cách công là thông qua RunDll32.exe Cú pháp sau

RUNDLL32.EXE ,

Vì hãy RUNDLL32.exe Lab03-02.dll, cài

Vì gì ra khi dll cài

Mã cài svchost.exe và DLL được thêm vào thông qua SCManager Chúng ta có thể quan sát quá trình này bằng cách sử dụng IDA Pro, nơi nó thêm các mô-đun thông qua các hàm chính của nó.

Có 2 cách công mã này

Chúng ta có " net start IPRIP "

K qua Services.msc trong hình trên cách qua svchost.exe, chúng ta quy trình trong Lab03-

02.dll là quá trình này, PID là 1032 có dàng này cách tùy tìm (Ctrl-F) trong trình khám phá quy trình bên chúng ta có PID thành 1032 dòng các netsvcs

Registry - HKLM / services / CurrentControlSet / Services / IPRIP

Có các dns Pracmalwareanalysis.com phát xem máy virus hay Chúng tôi có tìm ra http yêu cho serve.html khác Strings

Có mã hóa base64 Hãy mã chúng và hy nó giúp ích khi phân tích trình trong IDA Pro

1 Làm cách nào có cài mã này?

2 Làm cách nào có mã này sau khi cài

3 Làm nào có tìm quá trình mà mã này

4 có nào procmon thu thông tin?

5 Các trên máy mã là gì?

6 Có ký trên ích nào cho mã này không?

Lab3-03

Lab03-03.exe SHA256: ae8a1c7eb64c42ea2a04f97523ebf0844c27029eb040d910048b680f884b9dce

Ngày phân tích: ngày 31 tháng 1 2016

Vào ngày 8 tháng 4 năm 2011, trong quá trình theo dõi tệp Lab03-03.exe, mã tìm kiếm đã phát hiện ra rằng tệp này tạo ra một tiến trình con là svchost.exe Sau khi tiến trình svchost.exe thoát, nó không còn liên kết với tiến trình cha.

Trong hình svchost và chúng ta có các khác nhau và không nên Trong chúng ta có

SetWindowsHookExA, này cho có exe keylogging Mã có th là thay quy trình thay svchost sau và khi thay mã thì nó

Chúng ta có các quen Lab03-03.exe bên trong svchost, này thêm svchost có là chính Lab03-

03.exe proc mon, chúng tôi thành tên lý và pid

= 672 (services.exe) này l ra svchost pháp proc mon

Practicemalwareanalysis.log trong cùng t mã trú Bên trong tin ký là các phím mà nhân

Chúng ta sẽ trình bày về svchost trong việc quản lý các tiến trình Nó ghi lại các phím nhân và thông qua các mã này, chúng ta có thể xem xét và phân tích các mã khác nhau.

Không có thay ký quan tâm nào phát qua regmon các câu sau:

1 gì khi theo dõi mã này Process Explorer?

3 Các báo trên máy mã là gì?