恶意代码分析实战-015 Lab 7-2

admin
admin
admin
86329
文章
81
评论
2023年9月25日00:04:02评论29 views字数 676阅读2分15秒阅读模式

1.1、第一问  

问题:样本如何实现驻留的
静态分析:
String.exe查看字符串,得到url链接。
         恶意代码分析实战-015 Lab 7-2
Dependency查看导入函数,CoCreateInstance、OleInitialize函数是与COM相关。
恶意代码分析实战-015 Lab 7-2
动态分析:
运行样本,打开Internet Explorer访问“http://www.malwareanalysisbook.com/ad.html”。
         
将样本拖入IDA分析。在main函数中,调用OleInitialize、CoCreateInstance函数,获取COM对象保存在堆栈上。
恶意代码分析实战-015 Lab 7-2
为判断程序在使用什么COM功能,查看iid与clsid对应的值。其中riid值为D30C1661-CDAF-11D0-8A3E-00C04F0C90E26E;rclsid值为0002DF01-0000-0000-C000-00000000000046。通过查询iid对应的是IwebBrowser2,clsid对应的是Internet Explorer。
CocCreateInstance函数返回的COM对象在地址0x00401074处调用,IWebBrowser2接口。
恶意代码分析实战-015 Lab 7-2
调用后结束程序。
当遇到如此简单的程序时,应该考虑的是他可能随额外的恶意代码一起打包,他只是其中一个组件。
样本未实现持久化驻留

1.2、第二问  

问题:样本的功能是什么
程序的目的是打开Internet Explorer访问URL

1.3、第三问  

问题:样本的执行流程是什么
访问Url后就结束。
         

原文始发于微信公众号(网络黑箱):恶意代码分析实战-015 Lab 7-2

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月25日00:04:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  恶意代码分析实战-015 Lab 7-2 https://cn-sec.com/archives/2064077.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: