感染性的木马病毒分析之样本KWSUpreport.exe
一、病毒样本简述
初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文件的一些信息,资料表明:KWSUpreport.exe 是2009年版金山网盾程序的一个上传用户报告的程序模块,因此从网上下载了该版本的金山网盾程序,获取到了正常的KWSUpreport.exe文件,经过OD的调试以及与感染KWSUpreport.exe文件的对比,能够确定获取到的KWSUpreport.exe文件是该感染样本的正常文件。
下面使用StudPE工具查看感染KWSUpreport.exe文件与正常KWSUpreport.exe文件的不同,感染文件和正常的文件的文件头的信息不同,主要表现在:
1. 程序的入口点发生了改变
2. 整个PE文件的镜像大小改变了
注意:PE文件的区段的数量没有改变
感染文件和正常的文件的区段信息不同,主要表现在:
1. 区段的RVA发生了改变
2. 区段的大小发生了改变
注意:变化的部分主要集中在.text段即代码段
结论:初步可以判定样本文件KWSUpreport.exe的感染类型为节缝隙插入代码的感染。
二、病毒样本的具体分析
正常文件的OEP为00014F9D,感染文件的OEP为00015359.
对感染文件进行具体的分析:
==========================================================================
附上获取Kernel32的基址的函数GetKernel32Instance的分析:
==========================================================================
从重定位的代码位置拷贝到申请堆内存空间0015C010的代码,大小为720H字节的大小,如下图:
==========================================================================
附上重定位函数DoRelocateFun 的分析:
==========================================================================
下面对关键函数0015C240进行具体的分析:
地址00415359处的代码的对比:
对创建线程的回调函数0015C50进行具体的分析:
转载博客请保留本文链接:http://blog.csdn.net/qq1084283172/article/details/45933129
感染性的木马病毒分析之样本KWSUpreport.exe相关推荐
- 一个感染型木马病毒分析(二)
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...
- 一个感染型木马病毒分析(一)
一. 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4 ...
- Win32.Rootkit.Lapka.Wozw 木马病毒分析
By: DeathMemory QQ: 123951548 前言 近期简单分析了一个下载者+DDos的病毒,还原了一些代码,把大家感兴趣的部分分享出来,仅供学习研究.大神请跳过. 病毒执行流程 整体流 ...
- 5-Web安全——php木马后门分析(入侵溯源)
由于最近在学习入侵溯源和应急响应这块的知识,本着先理论再实践的原则,应用现有所学的知识自己动手分析一个php大马. 先随便从网上下载一个php大马,扔到虚拟机里打开,得到如下信息: 看到上面有一大串乱 ...
- WannaCry勒索病毒分析 **下**
WannaCry勒索病毒分析 下 在WannaCry.exe的分析实战 上 里面我已经拿到了WannaCry.exe在资源文件中的PE文件,并且给它提了个名WannaCry_PE.exe文件.但在Wa ...
- 一个简单的Android木马病毒的分析
一.样本信息 文件名称: 一个安卓病毒木马.apk 文件大小:242867 byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5 ...
- 病毒分析之“驱动人生”挖矿木马分析及其清除方案
"驱动人生"挖矿木马分析及其清除方案 0x00 概述 自2018年12月份"驱动人生"挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次.此木 ...
- 病毒分析要掌握的技能
[转载]http://bbs.pediy.com/showthread.php?t=199036 虽然这里面的技能都比较久远了,但是常识还是要了解的 1._declspec(naked) 告诉编译器不 ...
- WannaCry勒索病毒分析过程**上**
WannaCry勒索如何分析实战 上 我的第一篇博客文章 作为一名大四的网络工程应届毕业生,发自内心的感谢网上的每一位博主,感谢网上的每一位大佬愿意分享自己的经验.我才可以在网上学到如此多的知识.我在 ...
最新文章
- python 可以 从视频中 直接剪辑音频出来(亲测MP4)
- 使3D空间中物体朝向和其速度方向一致的旋转矩阵计算方案
- 大端小端区别、Union和Struct的内存分配
- 编写你的第一个 Django 应用,第 5 部分
- C Programming Language
- react页面保留_如何在React中保留已登录的用户
- Linux netfilter源码分析(6)
- flask向html传函数,Flask----函数数据类型传参
- webharvest-sample-1
- c# 循环com,分别对串口写入与读取,获取需要的串口信息
- 最优化 | 二次规划的基础知识理论 | 例题讲解
- 使用rpm 安装wget
- 塑胶模具注塑常用哪些材质
- 进击的巨人和枪王黑泽两部漫画的观后感
- 让我感动的100对古装情侣
- Invalid parameter passed to C runtime function
- html底部友情链接代码,wordpress友情链接添加到页面底部的方法
- [ XJTUSE ]JAVA语言基础知识——2.2 Java基本数据类型
- Snipaste截图时下拉菜单消失解决方法
- MATLAB——求系统的零状态响应