恶意代码分析实战-015 Lab 7-2 admin 86329文章 81评论 2023年9月25日00:04:02评论29 views字数 676阅读2分15秒阅读模式 1.1、第一问 问题:样本如何实现驻留的 静态分析: String.exe查看字符串,得到url链接。 Dependency查看导入函数,CoCreateInstance、OleInitialize函数是与COM相关。 动态分析: 运行样本,打开Internet Explorer访问“http://www.malwareanalysisbook.com/ad.html”。 将样本拖入IDA分析。在main函数中,调用OleInitialize、CoCreateInstance函数,获取COM对象保存在堆栈上。 为判断程序在使用什么COM功能,查看iid与clsid对应的值。其中riid值为D30C1661-CDAF-11D0-8A3E-00C04F0C90E26E;rclsid值为0002DF01-0000-0000-C000-00000000000046。通过查询iid对应的是IwebBrowser2,clsid对应的是Internet Explorer。 CocCreateInstance函数返回的COM对象在地址0x00401074处调用,IWebBrowser2接口。 调用后结束程序。 当遇到如此简单的程序时,应该考虑的是他可能随额外的恶意代码一起打包,他只是其中一个组件。 样本未实现持久化驻留 1.2、第二问 问题:样本的功能是什么 程序的目的是打开Internet Explorer访问URL 1.3、第三问 问题:样本的执行流程是什么 访问Url后就结束。 原文始发于微信公众号(网络黑箱):恶意代码分析实战-015 Lab 7-2 特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法. 点赞 https://cn-sec.com/archives/2064077.html 复制链接 复制链接 我的微信 微信扫一扫 我的微信公众号 微信扫一扫
评论