• 评论员观察:70年正青春,不停步向未来 2019-10-12
  • 湖州:好山好水带来金山银山 2019-10-12
  • 陈冰阔腿裤演绎百变时尚 今年你穿阔腿裤了吗? 2019-10-02
  • 安徽“最美罚单”被质疑执法不公 专家称合规 2019-09-26
  • 彩虹之眼文章中国国家地理网 2019-09-24
  • (受权发布)中国人民政治协商会议第十三届全国委员会各专门委员会主任、副主任名单 2019-09-24
  • 北大附小四年级举行第一学期阅读工程启动仪式 2019-09-23
  • 领导干部要夯实履职尽责的“内功” 2019-09-23
  • 白岩松:媒体人要根据新闻事实选择合适表达方式 2019-09-21
  • 昌平线临铁四大盘究竟魅力何在?!跟我来踩盘一探究竟吧! ——凤凰网房产北京 2019-09-21
  • 图解:2017你的城市运动了么? 2019-09-16
  • 中国文化和旅游部严查严管营业性演出市场 2019-09-16
  • 亚冠-恒大2-2战平权健 高拉特双响帕托建功恒大遭淘汰 2019-09-15
  • 火箭杜兰特一口价恐被勇士打劫?纵有3绝技也给不起6千万 2019-09-14
  • 三亚市民投诉“蛙声扰民” 官方“神回复”引热评 2019-09-12
  • 吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|新疆喜乐彩开奖介绍 www.sl-36.com

     找回密码
     注册[Register]

    QQ登录

    只需一步,快速开始

    搜索
    查看: 14517|回复: 137
    上一主题 下一主题

    大乐透走势图: [PC样本分析] PC木马分析

        [复制链接]
    跳转到指定楼层
    楼主
    Assassin_ 发表于 2019-6-26 09:14 回帖奖励
    使用论坛附件上传样本压缩包时必须使用压缩密码?;?,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!

    Delphi- 木马分析

    0x0 前言

    新疆喜乐彩开奖介绍 www.sl-36.com 样本本身为Delphi编写,本人并不精通Delphi编写的思路,所以如果存在纰漏或者错误,还请指出,共同进步。样本本身因为存在混淆,乱序,并且我没有找到可以去混淆乱序的工具,只能手动调试??雌鹄幢冉下榉?。适合新手。

    0x01 样本信息

    样本MD5:  067C37A6C5CFF406520914AABACA3136
    样本大小: 537K
    语言: Delphi
    来源:
    https://www.virustotal.com/gui/file/9ae664348eb29f92142f177b1abb142ca93bb35246165e8fc62f965d337be71b/detection

    查壳,Delphi编写

    0x02 环境与工具

    Win 32、OD、IDA、python

    0x03 分析

    原始样本分析

    寻找突破口

    整体看结构,比较清晰。

    进入第一个函数中 InitExe()中。找到关键点

    动态调试,查看赋值起始地址为 0x00453FD0

    看到这些函数指针,猜测这里应该是初始化的时候依次调用,联想C语言中的init函数,这里很可能存在恶意代码

    通过排查,发现倒数第二函数,为关键函数

    至此我们就发现了关键点,接下来就动态了,这里说一句,可能读者会想为什么是这里呢?其实我也是慢慢调试出来的,虽然不可能完全正确,但是恶意行为发生在这里,我们不可能所有语言都了解,当遇到一种不熟悉甚至可能是陌生的语言环境,能够最快的上手这才能够达标。如果这一切如果能有理论支撑,才算比较好的操作。

    第一次解密运行

    接下来动态调试

    进入函数发现很多无用代码和内存申请在赋值在释放的过程,并且存在sleep过程,该过程耗时较长,猜测可能是防止沙箱等检测。

    经过等待之后,再次申请0X5E4D的空间并异或解密赋值,通过push\ret操作,指向解密代码


    乱序+各种简单反调试

    当看到这些乱序代码时,可以暂时开启run跟踪功能,耐心一点就可以。

    首先根据PEB找到Kernel???,然后通过导出表找到对应API


    样本先找到VirtualAlloc地址,通过调用申请空间,接下来将得到的API地址和??榈刂啡看娣旁诟每占?/p>

    创建快照,遍历进程,记录其PID和name


    接下来就是一些简单的反调试

    1) 通过CPUID获取处理器然后比较

    2) 比较文件名反调试


    3) 反杀软

    4) 反调试器反MS工具

    5) 通过API反调试

    6) PEB结构反调试

    获取资源

    资源解码,该处应该为配置文件

    再次检测avp.exe、bdagent.exe、bdwtxag.exe、dwengine.exe进程,在后边代码中,还存在多次简单的反调试,不过利用论坛调试器可以直接略过

    第二次解密运行

    根据配置文件多次解密资源文件,并拷贝,每次拷贝0x314的大小,拷贝0x87次,解密前

    重新排列解码后为一PE文件

    再次以挂起的形式创建进程

    利用CreateSection注入代码

    木马文件分析

    得到上边的PE文件,IDA查看,发现一个很简单的代码填充,编写一个简单脚本过掉

    动态加载所需dll

    查看权限,提权

    获取用户名并且遍历注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall下的所有子键,查看是否存在UninstallString的项,以此获取计算机安装的软件信息



    OEL操作,可以看到PWDFILE0YUIPKDFILE0YUICRYPTED0YUI1.0这样的字样

    循环调用,获取各种FTP各种信息



    发送所得信息到 //vman23.com/ab4/gate.php

    之后与//vman23.com/ab4/ab4.exe通信,获取ab4.exe


    写入文件,并执行,由于该链接已失效,所以不能知道该exe文件作用


    扩大战果

    尝试爆破该计算机其他用户,同样获取信息,并发送

    清理痕迹

    最后创建bat文件,并执行,删除该文件和bat文件。


    总结

    当调试完毕之后,发现还是很简单的。练下基本功,回顾一下IDA脚本和自己的耐心值还是有帮助的。

    附件中为样本和IDA python脚本
    sample.zip (283.19 KB, 下载次数: 67)

    免费评分

    参与人数 77吾爱币 +64 热心值 +71 收起 理由
    haonaner + 1 用心讨论,共获提升!
    macsun + 1 + 1 热心回复!
    zq_hac + 1 用心讨论,共获提升!
    fei8255 + 1 + 1 用心讨论,共获提升!
    Towneast + 1 + 1 谢谢@Thanks!
    Eric1 + 1 + 1 谢谢@Thanks!
    N0LL + 1 + 1 谢谢@Thanks!
    Genet + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    yaoyao7 + 1 + 1 我很赞同!
    niezian + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    细雨慰风尘 + 1 + 1 热心回复!
    19680715 + 1 + 1 谢谢@Thanks!
    明世隐 + 1 我很赞同!
    arvin_kings + 1 我很赞同!
    SUMMER、 + 1 用心讨论,共获提升!
    道极承天 + 1 + 1 用心讨论,共获提升!
    2673 + 1 + 1 热心回复!
    月光下的白狐 + 1 我很赞同!
    CN丶AotY + 1 + 1 用心讨论,共获提升!
    冰海无涯 + 1 + 1 用心讨论,共获提升!
    假笑 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    yzhqzl + 1 + 1 用心讨论,共获提升!
    nywjj + 1 + 1 热心回复!
    songxiaofeng + 1 + 1 用心讨论,共获提升!
    暗中观察的萌新 + 1 + 1 热心回复!
    Cyrus_EP + 1 + 1 鼓励转贴优秀软件安全工具和文档!
    lwjlove1234 + 1 + 1 我很赞同!
    邵小陌 + 1 + 1 用心讨论,共获提升!
    xj2019 + 1 + 1 很好
    学无止境no1 + 1 + 1 用心讨论,共获提升!
    少爷灬小贝 + 1 + 1 我很赞同!
    琉璃狐 + 1 谢谢@Thanks!
    atsw + 1 我很赞同!
    syxiachun + 1 我很赞同!
    lyslxx + 1 + 1 我很赞同!
    我吾爱破解账号 + 1 + 1 我很赞同!
    liubaoze + 1 + 1 我很赞同!
    叶隽 + 1 学习到了,感谢
    cpj1203 + 1 谢谢@Thanks!
    欧皇非皇 + 1 + 1 热心回复!
    一杯只姝小屁 + 1 热心回复!
    陈世界 + 1 + 1 谢谢@Thanks!
    无心戏子 + 1 + 1 用心讨论,共获提升!
    daniel7785 + 1 谢谢@Thanks!
    静叶流云 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    hzbwer + 1 + 1 看不大懂啊哈哈哈
    drakpj + 1 + 1 虽说看不懂,还是感谢楼主分享
    poisonbcat + 1 + 1 谢谢@Thanks!
    xgs14569 + 1 + 1 这么认真的男人就是帅气
    xiong_online + 1 + 1 用心讨论,共获提升!
    Lugia + 1 + 1 谢谢@Thanks!
    毛新航 + 1 我很赞同!
    siuhoapdou + 1 + 1 谢谢@Thanks!
    bricher9988 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
    only998 + 1 用心讨论,共获提升!
    brIckZ + 1 热心回复!
    weiaiyao + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
    Ynah + 1 + 1 我很赞同!
    娃娃菜啊 + 1 热心回复!
    laughingsir38 + 1 + 1 热心回复!
    svtbs + 1 热心回复!
    心比天傲 + 1 + 1 我很赞同!
    秋名山掌门人 + 1 + 1 热心回复!
    失忆的氢 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
    天空藍 + 1 + 1 期待更多
    wmsuper + 3 + 1 谢谢@Thanks!
    自强 + 1 + 1 用心讨论,共获提升!
    tony198911 + 1 + 1 用心讨论,共获提升!
    forfor + 1 用心讨论,共获提升!
    独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    you920928 + 1 + 1 我很赞同!
    zt185 + 1 + 1 我很赞同!
    吾爱小洪 + 1 + 1 我很赞同!
    墨辰 + 1 + 1 谢谢@Thanks!
    waltzofjack + 1 + 1 我很赞同!
    sw6108251 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    liphily + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

    查看全部评分

    发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

    推荐
     楼主| Assassin_ 发表于 2019-6-26 09:55 <
    willJ 发表于 2019-6-26 09:46
    楼主,有个图裂了,能不能处理下。"资源解码,该处应该为配置文件"这句话下面的图。

    感谢,已处理,之后会输出更多分析贴和一些破解贴,为社区知识共享做些事情。
    推荐
     楼主| Assassin_ 发表于 2019-6-28 07:26 <

    这是该木马利用jmp乱序后ida截的图,不过可以开启run跟踪,这样可以防止在后边分析时,跳的头晕
    4#
    willJ 发表于 2019-6-26 09:46
    楼主,有个图裂了,能不能处理下。"资源解码,该处应该为配置文件"这句话下面的图。
    5#
    西元世纪爱 发表于 2019-6-26 10:36
    感谢分享经验
    6#
    安尼大大 发表于 2019-6-26 10:37
    强大佬木马
    7#
    hinome 发表于 2019-6-26 11:08
    学习了。这个赞啊
    8#
    zt185 发表于 2019-6-26 11:46
    学习了好教程,楼主好强大!
    9#
    you920928 发表于 2019-6-26 11:59
    非常详细,感谢楼主分享干货
    10#
    feob 发表于 2019-6-26 12:24
    问下这个能杀毒吗
    11#
    20175156 发表于 2019-6-26 12:39
    我这辈子都看不懂这些了 很后悔
    您需要登录后才可以回帖 登录 | 注册[Register]

    本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

    快速回复 收藏帖子 返回列表 搜索

    RSS订阅|小黑屋|联系我们|新疆喜乐彩开奖介绍 ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

    GMT+8, 2019-10-16 14:04

    Powered by Discuz!

    © 2001-2017 Comsenz Inc.

    快速回复 新疆喜乐彩开奖介绍 返回列表
  • 评论员观察:70年正青春,不停步向未来 2019-10-12
  • 湖州:好山好水带来金山银山 2019-10-12
  • 陈冰阔腿裤演绎百变时尚 今年你穿阔腿裤了吗? 2019-10-02
  • 安徽“最美罚单”被质疑执法不公 专家称合规 2019-09-26
  • 彩虹之眼文章中国国家地理网 2019-09-24
  • (受权发布)中国人民政治协商会议第十三届全国委员会各专门委员会主任、副主任名单 2019-09-24
  • 北大附小四年级举行第一学期阅读工程启动仪式 2019-09-23
  • 领导干部要夯实履职尽责的“内功” 2019-09-23
  • 白岩松:媒体人要根据新闻事实选择合适表达方式 2019-09-21
  • 昌平线临铁四大盘究竟魅力何在?!跟我来踩盘一探究竟吧! ——凤凰网房产北京 2019-09-21
  • 图解:2017你的城市运动了么? 2019-09-16
  • 中国文化和旅游部严查严管营业性演出市场 2019-09-16
  • 亚冠-恒大2-2战平权健 高拉特双响帕托建功恒大遭淘汰 2019-09-15
  • 火箭杜兰特一口价恐被勇士打劫?纵有3绝技也给不起6千万 2019-09-14
  • 三亚市民投诉“蛙声扰民” 官方“神回复”引热评 2019-09-12
  • 河北11选5技巧规律 2017全年开奖历史 斗牛平台娱乐 中国竞彩网首页官网电脑版 排列五最近300期走势图 辽宁11选5360 100朝3d开机号近10期查询 中国体彩网官方下载 11选五走势图手机版 广东好彩1预测分析 足彩4场进球玩法 下载河南快三助手 体彩贵州11选5 北京pk10网赌害人案例 全网最准确单双中特