閑來無事在吾愛破解論壇上瞎逛,碰見一個師傅的樣本分析的帖子,師傅很熱心的把樣本分析出來,小白表示這個樣本的難度和平常接觸的不是一個檔次的(菜哭),於是我想根據那位師傅的分析步驟結合自己的想法來分析一次這個樣本,提升能力。
https://www.52pojie.cn/thread-953913-1-1.html 這是那位師傅的分析過程,供大家欣賞。
1.首先將樣本下載下來,發現該文件沒有格式,用Winhex打開發現是個rar文件,將后綴名改成rar可進行解壓,可解壓出該文件
看起來是個文件夾,但右鍵查看屬性顯示是一個exe應用程序,於是我們可以得知這用來迷惑計算機使用者來點擊,點擊后病毒樣本則會開始運行。
2.我們將其放入中查看一下
發現是由VC++編寫的,而且無殼,算是對小白的獎勵吧(菜哭o(╥﹏╥)o)。先將其拖進IDA來進行初步的靜態分析。
看到這些函數瞬間覺得壓力很大,但還是硬着頭皮分析一波吧,查看字符串
有用的字符串看起來並不多,byeyou.tmp sfctlcom.exe可能是比較有用的信息。
3.首先來觀察main函數的結構
sub_4057AE被先調用,一開始查看判斷條件並沒發現什么蹊蹺,但仔細思考
v400000 != 0x5A4D || v40003C + 0x400000 !=4550
因為字符在x64和x86中是以小端序的方式存儲,4D5A是PE文件的文件頭標識,由此我們可以確定該函數用來確定自身是否為PE文件,如果是則繼續執行,如果不是則退出執行。
4.接着繼續執行
應該是應用程序初始化的一些步驟。
經過一系列初始化后到達關鍵的函數 sub_401A40。
該函數去獲取了自身所處的目錄路徑。
因為接下來靜態分析難以下手,我們轉用OD進行動態分析。
5. 由IDA可得到sub_401A40的地址,我們直接跳轉過去運行
發現獲取了樣本所在的路徑。
繼續運行,程序進入sub_402120函數,該函數師傅說的是發現主要是兩個sub401450()函數
第一個sub401450(),程序首先設置文件指針,閱讀數據放到開辟的內存空間,然后在c:\windows\help下創建備份文件,而我只知道創建了一個.bak備份文件(還是細節搞不懂)
而且會生成一個同名的文件夾
里面有着7張圖片和Thumbs.db這個文件,通過OD判斷這可能就是在反復的將.liz文件的數據寫入圖片當中去。
6.接着將備份文件字符串和同文件名目錄作為參數傳入sub4026B0()函數,進入sub4026B0()函數,
程序獲取臨時目錄文件路徑,拼接出字符串c:\user\yxx\appdata\local\temp\rat.exe,如果存在直接打開,不存在就創建,創建后通過CreateProcess來啟動該程序。
創建文件目錄,獲得備份文件句柄,接着運行可以發現有一段遍歷進程的代碼
這兩個應用程序經過百度可得是安全服務軟件,目的就是檢測是否含有殺毒軟件。
然后通過MoveFileA這個API將原程序覆蓋到byeyou.tmp里面,進行了文件替換。
該程序的分析到此告一段落,但我們注意釋放出來的rat.exe很值得分析。
於是將其載入OD進行調試
7.
我們發現rat.exe復制自身為ctfmon.exe,然后該進程去尋找資源文件。
創建進程打開alg.exe程序
然后卸載進程模塊,實現傀儡進程注入。
alg.exe程序被注入后,喚醒線程,開始運行核心程序。
8.我們將alg.exe文件的資源節所含內容提取出來發現是一個PE文件。
我們將其放入IDA進行分析,可以看到
先通過函數sub_405BD0進行提權,
然后解密域名字符串。
然后通過一系列的GetProAddress()API來初始化調用所需函數。
之后,進入關鍵函數sub_405960
我們從上到下依次分析這幾個函數
①sub_405720
首先啟動套接字服務,打開一個URL,保存從URL返回的數據,該URL應該是病毒服務器的地址。
②sub_403190
獲取多種函數地址,方便以后調用。
然后該函數調用子函數,來獲取磁盤信息,系統版本,是否能PING通等信息。
一旦獲取了磁盤信息,就可以遠程進行增添,刪除等操作,實現真正意義上的遠控。
跟着師傅的思路分析了一個下午總算分析的算是有點成果了,經過這次分析獲得了很多分析時實用的經驗,可是和師傅的水平還是差的很多。
路漫漫其修遠兮,吾將上下而求索!