恶意代码分析实战 — Lab 14-03

分析14-03流量,找到http包

其中user-agent出现两次,系统自带的+用户自定义,可以作为一种网络特征

Idapro载入程序,查看imports,很多关于Internet操作

查看InternetOpenUrlA,交叉应用来到调用处,在上方找到调用的data区,有User-Agent, Accept, Accept-Language等关键字,与捕捉的网络包相同。

查看InternetOpenUrlA处的参数,其中Source表示的lpszUrl,即URL地址

查看该参数的来源

其中eax为sub_401457调用后传递的

进入此函数,会首先调用CreateFileA查看c:\\autobat.exe文件

如果创建失败,调用

存在此文件时,ReadFile读取内容,存储在lpBuffer中,即lpszUrl参数,所以文件autobat.exe存储的是URL值

当函数调用URL值后,InternetOpenUrl尝试打开,然后进入一个循环,调用InternetReadFile读取,strstr查找关键字符串 <no

找到就进入sub_401000函数

此处对某个位置的字符进行逐个比较,此处顺序有所打乱,可以绕过某个固定字符串等特征检测机制,将顺序重新排列得到str[7] = noscript

处理完上述操作,进入sub_401684

调用strtok,然后首字母减d,根据结果执行switch分支

Case 0:d

             Urldownloadtocachefile createprocessa等

Case 10:n

           Return 1

Case 15:s

            Sleep

Case 14:r

           Redirect

其中d和r都调用了sub_401147

有个循环结构,通过strlen获取长度,然后atoi与字符索引进行比较,这相当于程序的编码表

您可能还喜欢...