1.1、第一问
Dependency查看导入函数,CoCreateInstance、OleInitialize函数是与COM相关。
运行样本,打开Internet Explorer访问“http://www.malwareanalysisbook.com/ad.html”。
将样本拖入IDA分析。在main函数中,调用OleInitialize、CoCreateInstance函数,获取COM对象保存在堆栈上。
为判断程序在使用什么COM功能,查看iid与clsid对应的值。其中riid值为D30C1661-CDAF-11D0-8A3E-00C04F0C90E26E;rclsid值为0002DF01-0000-0000-C000-00000000000046。通过查询iid对应的是IwebBrowser2,clsid对应的是Internet Explorer。
CocCreateInstance函数返回的COM对象在地址0x00401074处调用,IWebBrowser2接口。
当遇到如此简单的程序时,应该考虑的是他可能随额外的恶意代码一起打包,他只是其中一个组件。
1.2、第二问
程序的目的是打开Internet Explorer访问URL
1.3、第三问
原文始发于微信公众号(网络黑箱):恶意代码分析实战-015 Lab 7-2
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2064077.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论