吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6361|回复: 7
收起左侧

[PC样本分析] 一个进程注入型木马样本分析<一>

  [复制链接]
安静的小酒吧 发表于 2015-11-25 01:27
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 安静的小酒吧 于 2015-11-27 00:09 编辑

Win32.Trojan.e6d分析报告<一>
我在吾爱的第二个样本分析
安静的小酒吧
基本信息
  
名称
  
Win32.Trojan.e6d
类型
木马
来源
吾爱破解-病毒样本区
运行环境
Win  XP
开发语言
未知(应该是C
壳信息
文件加壳(未知壳)
分析环境
Win  XP
分析时间
2015-11-23
文件信息
文件名
文件大小
MD5
130862496F0FD7A4D6DCB519A06F9F80
Win32.Trojan.e6d
139KB
SHA-1
110333F17D5C9F848F64C929A226920B82BB8CED
简介      
该样本来自吾爱破解-病毒样本区,相对于我发的第一篇PC样本分析
http://www.52pojie.cn/thread-434569-1-1.html的帖子,该样本的技术难度要高一些。
分析比较困难。有些部分我也没有完全弄懂,希望感兴趣分析的大牛多多指点。
样本名称Win32.Trojan.e6d是利用360查杀结果提示的样本分类命名的(可能不是真实名称)。
样本: Win32.Trojan.e6d.zip (177.92 KB, 下载次数: 39) (解压密码:52pojie)
报告: Win32.Trojan.e6d.样本分析.zip (844.63 KB, 下载次数: 22) (PDF版分析报告,看着舒服些。)
技术特征
该样本主要有以下技术特征:
1.      使用了未知的加壳工具。
2.      存在多次进程注入。
3.      启动多个线程。
4.      还存在文件下载并执行(http://api.wipmania.net/icon/n.api,这个估计是一个比较正规
的网站的一个链接,或许在里面种了马或者上传了恶意文件)。
从该样本的壳程序、进程注入、下载执行等方面可以看出该样本可能比较有背景。
执行流程
0x00 文件基本信息
         1PEIDExeInfo都没有查出任何壳信息,但是文件确实有壳。
         2)导入表如下,但是导入表里的函数都找不到调用位置(应该是壳做了特殊的处理吧)。
image1.png
导入表
image2.png
导入函数的调用位置找不到
         3)没有看到有价值的字符串。
image3.png
不存在有价值字符串
0x01程序加载后会看到很多无规律的add,sub,mov操作。单步跟踪会发现,在0x3c0000这个地址开始写入一段指令,
然后跳入这个地址,这个位置的指令看着很复杂,有很多跳转,最后一直跟下去会最终回到0x400000为基址的代码段,
这时候程序基本解壳完毕,此时可以dumpdump后的程序会可以执行,但是执行期间会出现崩溃(崩溃出现在
一个堆操作上)。所以样本的动态调试我是带壳调试的
无标题.png
无规律的大段大段的add,sub,mov指令
image4.png
0x3c0000位置的代码,十分没有规律,但是一直在正常执行
image5.png
回到0x400000位置,此时代码可读性很高,dump下来可以直接用IDA使用F5
(为了降低对F5的依赖性,这次基本都是直接看汇编)
         壳的信息就介绍到这里吧,这个壳我不认识,脱壳经验不是很丰富,所以这个壳算是没搞定(大牛轻喷),
如果有认识的希望不吝赐教。
0x02 IDA分析上面dump下来的文件,就很简单了,可读性比较好,但是后面的技术手法比较不错,
所以先简单分析执行流程。
         上来就调用了GetCommandLineA(),这个函数相当变态,变态在这个函数只有两句汇编指令:
(我是第一次看这个函数的汇编指令,完全被震惊了,所以多说两句,就当是给自己留个笔记吧)
image6.png
         你没看错,就这么两句,0x7c8855f4的位置保存的是程序执行时文件的全路径和运行时的参数。
函数的功能就是获取这样一个字符串。
         分析上下代码可知,程序想从这个字符串中查找“-shell”(使用的是strstr函数),显然我们是直接OD加载,
没有设置参数,文件名中也没有,所以应该找不到,也就是说下面的那一大堆互斥体什么的代码都执行不到。
image7.png
0x03 接下来是两次自身文件复制
image8.png
第一次 复制为temp.bin
image9.png
第二次 复制为SCrenSaverPr.src
(文件名确实有一定的迷惑性)
0x04 通过写注册表相关项,实现自启动(只是这招在360面前就。。。)
image10.png
0x05 启动svchost.exe,对其远程进程注入,采用的是代码注入的方式(相关知识和实例可以看
《逆向工程核心原理》中代码注入的相关知识,不得不说棒子写的这本书确实不错,棒子的逆向能
力也很值得学习)。这里主程序进行了多次注入。
image11.png
启动svchost.exe
image12.png
给进程的内存空间写入代码
image13.png
启动进程并执行
image14.png
另一次注入
0x06 创建一个傀儡进程并恢复运行。
    (傀儡进程相关内容http://www.programlife.net/dynamic-forking-of-win32-exe.html
image15.png
创建进程
image16.png
恢复运行
0x07 启动两个不同的线程
image17.png
         第一个进程:遍历C:\Documentsand Settings\AdministratorTemp目录查找.exe文件,重命名并删除。
image18.png
查找.exe文件
image19.png
加一个.gonewiththewings后缀
image20.png
再次遍历那个目录,删除对应文件(这一块的操作有点看不懂。。。)
         第二个进程:从http://api.wipmania.net/icon/n.api下载文件判断是否为PE文件(判断是否为MZ开头),
   如果是则加载执行。
image21.png
汇编代码有点长,贴一个IDAF5的代码吧
其他
         总的来说该样本结构比较复杂,功能比较多,从技术手法上可以猜测可能有一定的背景,不是一般人随便写的。
为什么这么说呢,因为我是瞎说的。
查杀方法
         删除自启动的注册表项、删除上面的几次复制就可以了。

==欢迎拍砖·共同进步==



免费评分

参与人数 4热心值 +4 收起 理由
康小泡 + 1 我很赞同!
Mr.Mlwareson_V + 1 鼓励转贴优秀软件安全工具和文档!
Hyabcd + 1 我很赞同!
Sound + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

夲跑的小蜗牛 发表于 2015-12-21 11:02
大神,求推荐两本你学习过程中觉得比较好的书籍呗,看你的分析,应该《逆向工程核心原理》算其中一本吧
学霸 发表于 2015-12-7 17:58
ZhuDebug 发表于 2015-12-7 17:20
运行木马直接重启,太强悍了,感染后想知道怎么提取出木马?
Mr.Mlwareson_V 发表于 2015-11-26 23:45
很不错,分析得非常好 学习了
 楼主| 安静的小酒吧 发表于 2015-11-26 22:12
把帖子的名称改了一下,加了个<一>,准备最近再写<二>,主要是再认真分析下进程注入(这里利用的是代码注入)部分。希望大牛们多多指点。
 楼主| 安静的小酒吧 发表于 2015-11-25 01:40
Sound 发表于 2015-11-25 01:35
最喜欢看的就是AV类的分析文章啦。

一起学习,一起进步哦
Sound 发表于 2015-11-25 01:35
最喜欢看的就是AV类的分析文章啦。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 20:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表