几个简单的恶意代码分析

一、隐藏恶意命令

首先我们先采用基础静态

strings name.exe

发现几个有趣的字符串

image.png

可知它要访问一个网页，并通过某种方式获取执行命令，注意最后一个字符串！

还有导入表

image.png

获取网络状态来（一般用于跳转命令执行）
InternetReadFile，解析html文档。后面注意分析这几个函数。
接着基础动态验证猜想，用netcat监控80端口

nc -l -p 80

或者apdateDNS

image.png

确实访问了该网址，没有欺骗我们！
接着用IDA开始最后的分析，直接来到InternetReadFile看他想读取啥？

image.png

这里它进行跳转并开始比对一些东西，我们将其转换为ascii

image.png

变为这样

image.png

最后编辑于：2017.12.09 16:06:54

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成，浏览时请结合常识与多方信息审慎甄别。
平台声明：文章内容（如有图片或视频亦包括在内）由作者上传并发布，文章内容仅代表作者本人观点，简书系信息发布平台，仅提供信息存储服务。

赞1赞

赞赏

手机看全文