会员申请ID：追梦者No.1【申请通过】

吾爱游客 *发表于 2020-2-16 13:14* · 发表于 2020-2-16 13:14

1.申请ID：追梦者No.1
2.个人邮箱：1579115987@qq.com
3.原创技术文章：小萌新的第一个恶意软件分析（练习题）原文地址：https://bbs.pediy.com/thread-257663.htm1. 当拿到一个一个恶意程序的时候首先就是进行网上的查毒，看看有没有哪个兄弟可以识别出来。Virus看看已经被大家玩烂了，但是可以知道这东西没壳，VC编写的一个win32程序，知道这些也就足够了。群里面也说就是一个练习用的小程序。图片1.png

2. 然后进入虚拟机（系统win xp ,里面有火绒剑，OD，）IDA因为是静态分析，所以就在本机。先看看资源是啥样子：哦吼是一堆乱码，先不管。图片2.png

2.1因为考虑到软件的危险性所以我们先简单的静态分析一波看看他的函数列表，看看字符串列表。分析主函数和其它子函数。猜测可能的行为。进入IDA首先我们现在看一下函数列表：图片3.png

main函数：首先进行了WSAStartup函数的调用(WSAStartup函数加载套接字库，因为我们以后想要用到的一些网络函数，就必须加载它，还有就是确定TCP/IP的版本)，由此可见这玩意要使用网络呀。然后判断零标志位的状态，决定是结束网络初始化还是进入循环。当进入循环后它call了一个sleep歇了会，然后调用了以一个函数sub_4011C9（根据函数列表可以知道在这个函数里面还调用了GethostName函数取到了我们的主机名）,然后判断零标志位的状态，决定是继续循环还是跳出循环。图片4.png

Sub_401000函数的c语言伪代码：传了三个参数，进行了一堆算法运算，返回运算值猜测是加密函数。图片5.png

Sub_4010B1函数的伪代码:传入了两个参数，并调用了sub_401000函数，由此可见上一个加密函数是这个函数的子函数，猜测出这个也是一个加密函数。图片6.png

sub_401190；也是传入两个参数，然后是一个for循环，猜测可能是解密的函数：图片7.png

sub_4011C9:使用了好多网络相关的函数，猜测进行网络操作，注意ebp+buffer,猜测存放下载的数据啥的，然后进行判断是不是自己想要的，是的话就将al置1，不是的话进行异或置零；图片8.png

Sub_401300函数：是一个对资源进行操作的函数，里面都是对资源的查找，加载，取指针等操作，很明显就是一个程序初始化的函数，在main函数里可以找到而且它调用了401190这个函数，很显然就是对加载的资源进行解密，因为我们在资源查看器中看到的是一堆乱码。图片9.png

3. 打开火绒剑来监测进程，运行程序，一两分钟后，我们的桌面啥的并没有明显变化，进入火剑查看监控的内容，其他的看不出异常，但是很明显，他在进行网络通信，访问了图中的网址，我觉得肯定做了见不得人的勾当。图片10.png

4. 进入OD开始进行动态分析，依据静态分析我们已经知道了main函数的位置和大概的流程，4.1 从main函数可以得知sub_4011C9是主函数，进行主要操作，图片11.png

4.2 执行到加密函数就是将我们获取的机器名进行加密，然后将从资源读取的解密完的数据进行字符串拼接。很显然它变成了我们在火绒网络监控里看到的网址。然后后面就进行网络通信获取他想要的数据。图片12.png

5. 总结：这个程序先将自己的资源读取出来进行解密作为网址的一部分，然后将我们计算机名前12个字符进行加密作为网址第二部分，然后进行网络访问，接收到远端服务器的返回数据，来进行判断是否结束进程。总的来说也不难可以作为入门挑战。
以上就是原文。因为我还是一个新手，帖子都是优秀没有精华，但是我会努力的！下面这是我看雪论坛的主页截图，登陆截图。图片13.png