title: 恶意代码实战分析Lab 11-3
id: a2d4bff7-05a4-407c-8baa-2ad9fb88606b
date: 2024-08-16 20:36:06
auther: 1256455767
cover: null
excerpt: Lab 11-3 分析恶意代码Lab11-03.exe和Lab11-03.dll。确保这两个文件在分析时位于同一个目录中。 问题 1．使用基础的静态分析过程，你可以发现什么有趣的线索? Lab11-03.exe 1.发现了"cmd.exe"字符串,说明可能是调用了控制台程序. 2.发现了"C\W
permalink: /archives/7cebee00-18d3-4e9d-b396-e208e2a26efd
categories:

• windowsni-xiang
  tags:
• er-jin-zhi-fen-xi

Lab 11-3

分析恶意代码Lab11-03.exe和Lab11-03.dll。确保这两个文件在分析时位于同一个目录中。

问题

1．使用基础的静态分析过程，你可以发现什么有趣的线索?

Lab11-03.exe:

1.发现了"cmd.exe"字符串,说明可能是调用了控制台程序.

2.发现了"C:\WINDOWS\System32\inet_epar32.dll"一个文件路径.

3.发现"cisvc.exe"未知进程名.

4.导入了"MapViewOfFile"函数和"UnmapViewOfFile"函数可能存在文件手动映射.

5.发现字符串"Lab11-03.dll"实验dll文件.

6.发现一个类似账号密码一样的字符串"zzz69806582".

Lab11-03.dll:

1.发现"GetForegroundWindow"和"GetAsyncKeyState"这两个函数经常搭配获取用户正在输入的按键.

2.导出了一个奇怪的函数名"zzz69806582"刚好与exe里的字符串匹配,应该是exe调用这个导出函数.

3.还有一个dll路径但是这个dll不是系统的dll是外部生成的"C:\WINDOWS\System32\kernel64x.dll"很有可能是本进程生成的.

2．当运行这个恶意代码时，发生了什么?

1.将Lab11-03.dll文件拷贝到"C:\WINDOWS\System32"下并重命名"inet_epar32.dll".

2.修改C:\WINDOWS\System32下cisvc.exe文件,往里面植入shellcode.

3.启动了索引服务"cisvc.exe"进程.shellcode实现加载"inet_epar32.dll"并调用"zzz69806582" 导出函数.

ShellCode讲解:

从.data:00409030地址开始:里面主要包含了3个函数我给重名名了:CallExportFunc,GetKernel32Base,GetFuncAddrByHashName.

(1)这个是Shellcode入口:主要是初始化堆栈的和跳转.

(2)这是一个call跳转原来里面是0x12345678是被我动态分析后修复了.

(3)这里就是这个Shellcode主要功能的地方,里面有2个关键函数,0x753A4FCh和 7C0DFCAAh分别对应LoadLibraryExA,GetProcAddress.是通过把函数名字符串每个字节循环右移0xD位相加得出来的32位数据.

(4)执行完导出函数后跳回原来的入口点函数

下面放下我分析的另外2个关键函数

4."zzz69806582"导出函数创建了一个死循环的按键记录器,并把记录顶层窗口所按下的键写到"C:\WINDOWS\System32\kernel64x.dll"文件里.这个文件名是用来迷惑的.

3.Lab11-03.exe 如何安装Lab11-03.dll使其长期驻留?

1.修改C:\WINDOWS\System32下cisvc.exe文件,往里面植入shellcode.shellcode实现加载"inet_epar32.dll"(这个dll是Lab11-03.dll复制到C盘下的)并调用"zzz69806582" 导出函数.

4．这个恶意代码感染 Windows系统的哪个文件?

1.C:\WINDOWS\System32下cisvc.exe文件.

5. Lab11-03.dll做了什么?

1.记录了用户按下的键码值.也就是个键盘监视器.

6.这个恶意代码将收集的数据存放在何处?

1.收集的数据写到了"C:\WINDOWS\System32\kernel64x.dll"文件里这个文件名是用来迷惑的.