肛交 银狐样分内析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

发布日期:2024-11-03 06:34    点击次数:93

肛交 银狐样分内析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

msi在装配进程中奉犯罪意剧本,在C盘开释载荷ee.exe,ee.exe解密奉行shellcode,shellcode通过多种妙技奉行反调试操作,添加Windows Defender的摒除旅途,解密字符串获取url后建立连续下载文献并解密,获取多个url,赓续下载文献开释到指定旅途下,文献包括具极端据签名的白文献,坏心dll,ffff.pol,ffff,lop。Shellcode加载白文献,白文献启动进程中加载坏心dll,坏心dll加载ffff.pol到内存中,ffff.pol是艰苦MZ头的pe文献,添加后跳转到进口点奉行,ffff.pol解密ffff.lop文献得到dll文献和ip地址等,奉行ffff.lop文献的导出函数Edge与c2建立通讯获取指示奉行窃密、提权、缔造自启动等操作。把柄域名,开释文献旅途肛交,远控模块判断是银狐病毒。

在这里插入图片描摹

Msi文献中被注入坏心剧本,在装配进程中将三个文献的践诺并吞成一个二进制文献C:\ee.exe并奉行。在这里插入图片描摹

ee.exe进口点被修改为跳转指示,text段存在shellcode。将shellcode复制到恳求到的内存空间后跳转奉行。在这里插入图片描摹

通过xor解密shellcode,解密后数据如下图所示。在这里插入图片描摹运用LoadLibraryA和GetProcAddress动态获取其他函数。在这里插入图片描摹调用CreateToolhelp32Snapshot(),Process32First()和Process32Next()函数遍历程度,判断是否存在MsiExec.exe程度。在这里插入图片描摹调用GetCurrentProcessId()函数获取当远景度ee.exe的pid,遍历程度,通进程度id判断是否是当远景度,是当远景度则获取当远景度的父程度pid。在这里插入图片描摹遍历程度获取ee.exe父程度的父程度pid。在这里插入图片描摹在这里插入图片描摹再次遍历程度获取ee.exe父程度的程度名。再次遍历程度获取ee.exe父程度的的父程度程度名如若是explore.exe截止程度。获取计较机称号,创建互斥体。在这里插入图片描摹解密出建树文献旅途C:\xxxx.ini。在这里插入图片描摹运用GetTickCount64函数和rdtsc反调试。在这里插入图片描摹在这里插入图片描摹调用CreateToolhelp32Snapshot(),Process32First()和Process32Next()函数遍历程度,判断是否存在360tray.exe,360sd.exe,360safe.exe程度。如若存在截止程度。在这里插入图片描摹调用CreateToolhelp32Snapshot(),Process32First()和Process32Next()函数遍历程度,判断是否存在msmpeng.exe,mpcopyaccelerator.exe,securityhealthsystray.exe程度,这些是windows defender联系程度。通过这个shellexecuteA调用,会启动 PowerShell 并奉行指定的高唱,完成对Windows Defender的摒除旅途的缔造。摒除的旅途包括'C:\ProgramData'和'C:\Users\Public'。参数-Force示意强制奉行,即使有警告或阐发教导也会被忽略。在这里插入图片描摹由硬编码的字符串解密出url:Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/c.dat。在这里插入图片描摹

调用InternetOpen,InternetOpenUrlA,InternetReadFile读取数据到恳求的内存中。在这里插入图片描摹从读取的践诺中解密出以下url。 在这里插入图片描摹在这里插入图片描摹在这里插入图片描摹立时生成字符串后,从硬编码的字符串中解密出开释旅途。之后与立时生成的字符串拼接肛交,调用CreateDirectoryA函数创建目次。在这里插入图片描摹生成立时字符串与上述旅途拼接后与.exe拼接。之后又拼接出三个旅途如下图所示,文献名由上文中https通讯读取的数据解密得到。在这里插入图片描摹调用InternetOpen,InternetOpenUrlA,InternetReadFile从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_120.jpg读取数据到恳求的内存中异或解密得到pe文献。在这里插入图片描摹写入到下图所示文献中。在这里插入图片描摹从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_121.jpg中下载的数据解密后是dll文献,写入到开释旅途下的CiscoSparkLauncher.dll文献中。在这里插入图片描摹可奉行要领是具有灵验签名的白文献,启动时加载坏心dll。在这里插入图片描摹从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_122.jpg中下载的数据解密后是不具有mz标志的不完好pe文献,写入到开释旅途下的ffff.pol文献中。在这里插入图片描摹从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_123.jpg中下载的数据解密后写入到开释旅途下的ffff.lop文献中。在这里插入图片描摹缔造开释文献场合的旅途为面前旅途。在这里插入图片描摹调用ShellExecuteEx奉行开释的白文献。在这里插入图片描摹

获取计较机称号,创建互斥体在这里插入图片描摹解密出shellcode后奉行。在这里插入图片描摹运用LoadLibraryA和GetProcAddress动态获取其他函数。加载ffff.pol文献到内存中,修补mz头后跳转到进口点奉行。

调用OpenMutexA、CreateMutexA函数确保程度独一启动。在这里插入图片描摹

创建线程,获取高唱行参数当作线程函数的参数。调用IsUserAnAdmin函数判断面前用户是否具有解决员权限。如若具有解决员权限则缔造UAC不弹出任何教导框,以解决员权限自动启动要领。在这里插入图片描摹

创建线程不休遍历程度,判断是否存在360tray.exe,360safe.exe,360sd.exe程度,而况请求目的窗口关闭本人。在这里插入图片描摹

读取ffff.lop文献到内存中,从肇始位置偏移2A0处解密出pe文献,大小5a000。在这里插入图片描摹

从肇始位置偏移180处得到IP地址。在这里插入图片描摹

从肇始位置偏移4dd48处得到IP地址。在这里插入图片描摹

从肇始位置偏移190处得到端口7000。从肇始位置偏移1a0处得到uiekjxw.net。从肇始位置偏移4e1a4处得到iuearx.net。从肇始位置偏移1b0处得到端口7063。在内存中伸开确立后获取导出函数Edge地址跳转奉行。在这里插入图片描摹

删除指定文献,并把指定文献缔造为HIDDEN|SYSTEM。在这里插入图片描摹

创建线程,排列窗口,如若窗口标题栏上表示的文本信息所以下字符串则调用ShellExecuteA函数再行启动要领,并退出当远景度。在这里插入图片描摹

[培训]内核驱动高等班肛交,冲击BAT一流互联网大厂使命,每周日13:00-18:00直播讲课

辽宁干部在线学习网


热点资讯

相关资讯



Powered by 成人游戏 @2013-2022 RSS地图 HTML地图

Copyright Powered by站群 © 2013-2024