恶意代码分析实战 — Lab 20-02

使用strings对文件进行字符串扫描,有几个需要注意的地方:ftp/doc/pdf/c:\*

使用dependency walker查看导入表,在kernel32.dll中可以看到对文件的遍历函数

在wininet.dll中有ftp操作和网络连接操作

Idapro载入程序,首先WSAStartup初始化网络功能,gethostname获取网络主机名,然后将C:\*作为参数入栈调用sub_401000

进入此函数,是个循环结构,调用FindFirstFileA和FindNextFileA来遍历C盘下文件

分析循环体,根据strncmp比较文件后缀是否是doc和pdf

匹配到格式后,会new一个对象,将结果eax赋值给var_15c,然后F8和04处将虚函数表写入对象起始偏移处

查看偏移表

其中sub_401380对应pdf文件

Sub_401440对应doc文件

此恶意程序功能是将受害者机器中C盘目录下所有doc和pdf文件通过ftp协议发送到攻击者机器中

您可能还喜欢...