OD加载1.exe,运行后观察火绒剑或者procexp,发现一个子程序,如图: ok麻烦事儿来了==,分析完母体还得分析子程序。 先查壳, NSIS….百度一下发现 恩 不仔细看了 估计是打包程序的程序,不是什么壳。 通过静态分析IDA和火绒剑的分析发现: 1获取母体路径,然后在C:\Documents and Settings\Administrator\Local Setting\Temp 即“//temp”下释放临时文件 2创建NVIDIA Corporation\Update文件夹释放子程序,并运行。 3然后改注册表。 4最后把1.exe删除,结束母体进程。 大概就是这么回事,然后OD仔细看看。 母体路径 然后获取完整路径,用“(即22)作为结束符判断 继续看 这个临时文件先不管是用来做什么的 总之就是call到temp文件然后又call回来…个人理解为是在干扰分析用的。 继续看: 这是在C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\路径下创建子程序 然后运行 最后关闭 00401E8A |> FF15 EC704000 CALL DWORD PTR DS:[<&KERNEL32.CloseH>; \CloseHandle
后面就是连续的改名并对子程序创建Key。 然后分析子程序因为已经在运行所以不用把子程序拉入OD 检查自己是否存在并删除母体 后来发现在火绒剑上有TCP/IP活动,我就点开一看发现之前访问的ip没了,就寻思着把子程序直接拖进od发现并不能运行只好把所有生成的文件全删了 然后再来一遍发现 各种不停的发包和接包 最后扔到火眼里也没有明确报告 根据他一直send 感觉是远控木马。
