恶意代码分析实战 — Lab 10-01

Idapro载入exe程序,在imports中可以看到advapi32.dll中有关于service的操作

在strings看到sys文件

Idapro载入sys文件,在imports中看到ntoskrnl.dll载入三个函数,与注册表读写有关

Strings.exe查看sys文件,有几个疑似注册表项,以Registry\Machine开头

在内核态访问注册表时,前缀就相当于HKLM

ProcessMonitor程序监控程序运行,RegSetValue设置一个Seed值,与随机数有关

来到exe的Winmain函数,push一些参数,调用CreateServiceA创建服务,名称为Lab10-01,使用了sys文件,服务类型dwServiceType=1,表示文件会被加载到内核

然后创建成功就执行StartServiceA,失败则OpenServiceA,然后再执行,最后调用ControlService,参数dwControl=1,表示SERVICE_CONTROL_STOP,会卸载驱动,并调用驱动卸载函数

分析sys文件,

函数DriverEntry真正入口地址为0x10906,将偏移量移入到某内存位置

此函数完成对注册表的创建键值操作等

您可能还喜欢...