对伪装docx文件病毒的逆向分析
1.病毒文件的基本信息分析
1.1 病毒文件具体展示
病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。
1.2 病毒信息具体提示
打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。
1.3 trojan.generic病毒的定义信息
trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。病毒在电脑的后台运行,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
1.4 分析病毒的加壳情况
通过Exeinfo PE工具可以分析出该病毒样本是没有加壳的样本,并且是64位程序。通过区段表信息可以看到它是个常规的PE文件。
1.5 分析病毒所依赖的模块信息
通过CFF Explorer工具可以查看该病毒样本主要依赖如下的5个模块信息。
1.6 监控病毒文件行为
通过Procmon进程监控工具进行可以监控进程启动时,该病毒文件会删除自身文件,并重新创建一个新docx文件并将原来的文件内容写入到文件中。
下面是病毒运行后释放出来的原始文件,第二个文件是为了分析用,不让其进行自动删除病毒文件。
2.病毒文件的关键功能信息分析
2.1 病毒样本的反调试功能
背景:ollydbg动态逆向分析工具附加病毒文件进程,病毒文件就直接退出了,所以猜测该病毒样本具体反调试功能。
病毒样本的反调试功能函数:IsDebuggerPresent()
过掉反调试功能:通过API Hook(可以用微软Detours库)方式将反调试功能函数给Hook掉,让其反调试功能失效,这样我们的ollydbg动态调试工具才能正常调试。
IsProcessorFeaturePresent()函数详解
IsDebuggerPresent()函数详解
2.2 每次只能启动一个病毒样本实例
通过创建互斥体CreateMutexA()方式进行实现功能
CreateMutex()函数详解
2.3 病毒文件结束自身进程
释放完原始的docx文件后,病毒文件就通过如下方式进行结束自身进程,并通过获取mscofee模块中未导出的函数并调用corExitProcesss函数实现关闭当前进程的非托管进程。
2.4 启动原始的docx文件
通过CreateProcess()函数方式进行启动打开docx文件。
2.5 进行信息收集上传
通过TCP网络传输方式进行数据的信息收集并上传到病毒服务器(服务器ip在山西某地)上,其中服务器信息及上传的内容通过进行MD5加密并进行处理。
3. 总结
通过对该病毒样本的基本信息分析,可以了解到该病毒的整个流程是:启动病毒文件获取病毒文件的路径及文件相关信息,释放出原始的文件到病毒文件所在的路径,并将运行的环境信息上传到病毒服务器,接着自动删除病毒文件,最后启动原始的文件。
通过对病毒逆向分析,可以了解到调用IsDebuggerPresent()函数可以实现反调试检测功能。
对伪装docx文件病毒的逆向分析相关推荐
- 病毒木马查杀实战第016篇:U盘病毒之逆向分析
比对脱壳前后的程序 我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本.其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别.首先用IDA Pro载入原始病毒样本: 图1 可 ...
- 病毒汇编逆向分析实例赏析
病毒名称: xxmb 壳信息: yoda's Protec ...
- scanner怎样回到文件开头_Radare2逆向分析dex/so/二进制等文件的使用方法
git clone https://github.com/radareorg/radare2.git git pull r2pm init r2pm update sys/install.sh rad ...
- 小甲鱼 OllyDbg 教程系列 (十六) : 简单病毒的逆向分析
小甲鱼 OD 教程( 多态 和 变形 分析 ): https://www.bilibili.com/video/av6889190?p=25 https://www.b ...
- 病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
前言 这次我们会接着上一篇的内容继续对病毒进行分析.分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分 ...
- 病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
前言 对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段.为了节省篇幅,在这里我不打算将"熊猫烧香"进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这 ...
- Linux Security Module逆向分析实战
Linux Security Module逆向分析实战 本文记录了对某发行版Linux中一个安全模块(LSM)的逆向过程,该LSM对系统中待运行的程序进行安全校验,数据流穿越内核态与用户态,涉及系统内 ...
- APP逆向分析之XX音乐客户端下载歌曲权限绕过
很长一段时间没有做逆向分析相关的研究了,最近看了一部电影,电影有首插曲名字叫不见不散,那是相当的好听啊,打开XX音乐,准备下载,额-.弹出付费才能下载-.为了一首歌,开一个包月服务,显然不是我这个搞过 ...
- 一个感染型的病毒逆向分析
作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为.因为病毒分析报告是给看不懂这些汇编代码人员看的.一份好的 ...
最新文章
- 论文推荐 | 目标检测中不平衡问题算法综述
- mysql中的执行计划_MySQL中的执行计划explain详解
- centos5.5中安装mysql5.5.3
- 微信开发系列之一 - 微信公众号开发的开发环境搭建
- python 多进程与多线程配合拷贝文件目录
- django html中文乱码,如何使用Python/Django执行HTML解码/编码?
- JavaScript -- Window-Resize
- windows程序设计一 最简单的windows程序
- KALI利用MS17-010漏洞入侵
- bcdboot(引导修复工具) 命令行工具使用方法
- Golang zip文件解压与压缩
- 被认为是世界史上50个最伟大的发明有哪些?
- python用空格隔开每一个字符_Python(字符串操作实例1)一个字符串用空格隔开
- DirectShow 简介
- 又闹分裂?Node.js 被 fork 出一个项目 Ayo.js
- 年轮广场-NC13583(暴力)
- 20210112.使用字典来创建并分类汇总物品清单的python程序代码
- 莫斯科计划在 17 万个监控摄像头中引入人脸识别;广东农行“刷脸取款”实现 1600 多个网点全覆盖...
- SpringBoot集成Kafka
- 赛门铁克警告Switch模拟器下载链接实为垃圾站点