title: 恶意代码实战分析Lab 7-2
id: cdee3175-d904-426f-9af4-3fdee47bf5ce
date: 2024-08-16 20:23:20
auther: 1256455767
cover: null
excerpt: Lab 7-2 分析在文件Lab07-02.exe中发现的恶意代码。 问题 1.这个程序如何完成持久化驻留? 1.这个程序没有永久驻留,运行完一次就结束了. 2.这个程序的目的是什么? 图1 图2 图3
permalink: /archives/fdcd851a-c7db-4b99-a188-8e63b3aa76d7
categories:

• windowsni-xiang
  tags:
• er-jin-zhi-fen-xi

Lab 7-2

分析在文件Lab07-02.exe中发现的恶意代码。

问题

1.这个程序如何完成持久化驻留?

1.这个程序没有永久驻留,运行完一次就结束了.

2.这个程序的目的是什么?

图1:

图2:

图3:

图4:

图5:

查找对应的对象的方法_不一定对,参数对照图1:通过参数1得到注册表HKEY_CLASSES_ROOT\CLSID键中的子键看图2,参数3是指定你获取表项中的子键看图2,本文中填写的是LocalServer32,参数4指定了类名,类名在HKEY_CLASSES_ROOT\Interface键中查看图3,本文是{D30C1661-CDAF-11D0-8A3E-00C04FC9E26E}所以类名是IWebBrowser2,可以看见里面还有个ProxyStubClsid32子键这个里面存着这个类所属的CLSID,还有一个TypeLib子键这个表示这个类对象是从哪个库里获取的,详情看图4,本文是{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B},根据TypeLib里面GUID,去HKEY_CLASSES_ROOT\TypeLib中查找可以看图5,根据TypeLib子键中的Version值找到对应版本,再根据你程序的位数打开就能看见库的路径,本文是win32程序找到对应的库是C:\Windows\SysWOW64\ieframe.dll,根据库中导出函数DllGetClassObject 就可以获取对象了,返回的是个对象指针.

1.使用COM组件通过调用CoCreateInstance函数,获取对象指针后调用IWebBrowser2中Navigate方法打开'http://www.malwareanalysisbook.com/ad.html'网址,之后释放字符串就退出了.

3．这个程序什么时候完成执行?

打开网址后就释放字符串退出了.