windows样本高等静态剖析之辨认汇编中C代码构造 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

windows样本高等静态剖析之辨认汇编中C代码构造

申博_安全防护 申博 35次浏览 已收录 0个评论

windows中常见后门持久化方法总结

前言 当我们通过各种方法拿到一个服务器的权限的时候,我们下一步要做的就是后渗透了,而后门持久化也是我们后渗透很重要的一部分,下面我来总结一下windows下常见的后门持久化的方法 后门持久化 我的操作环境是: 无AV、管理员权限(提权、免杀等是后门持久化的铺垫,当然有的方法也并不是全部需要这些铺垫) 操作系统:win7,windows server 2008R2,xp shift后门 这个是比较老的方式了,这里简单讲一下,在windows中有一些辅助功能,能在用户未登录系统之前可以通过组合键来启动它,

目的

经由历程剖析代码构造来明白一个歹意样本的整体功用

剖析流程

1.基础静态剖析

2.基础动态剖析

3.高等静态剖析

实践历程

实例1

Lab06-01.exe

基础静态剖析

导入表:wininet.dll、kernel32.net
导入函数:InternetGetConnectedState
字符串值:Error 1.1: No Internet、Success: Internet Connection

从导入库、导入函数、以及字符串能够看出该样本存在检测收集状况的功用

基础动态剖析

windows样本高等静态剖析之辨认汇编中C代码构造

运转样本后,经由历程联网和断网两种情形样本打印出差别输出,基础能够肯定存在收集状况检测功用

高等静态剖析

经由历程一个if-else语句,依据差别收集状况返回值来打印差别的字符串,而且依据基础动态剖析的反应能够推断sub_40105F函数为printf函数

windows样本高等静态剖析之辨认汇编中C代码构造

实例2

基础静态剖析

导入函数

InternetOpenUrlA
InternetCloseHandle
InternetReadFile
InternetGetConnectedState
InternetOpenA

字符串

http://www.practicalmalwareanalysis.com/cc.htm
Error 1.1: No Internet
Success: Internet Connection
Error 2.3: Fail to get command
Error 2.2: Fail to ReadFile
Error 2.1: Fail to OpenUrl
Internet Explorer 7.5/pma
Success: Parsed command is %c

从导入函数和字符串能够看出,这个样本应当对网页提议要求,而且能够存在剖析网页来猎取敕令的操纵

基础动态剖析

windows样本高等静态剖析之辨认汇编中C代码构造

依据返回的信息,是接见url失利,手动在浏览器接见该网页缺失已实效

基于qemu和unicorn的Fuzz手艺剖析

前言 本文主要介绍如果使用 qemu 和 unicorn 来搜集程序执行的覆盖率信息以及如何把搜集到的覆盖率信息反馈到 fuzzer 中辅助 fuzz 的进行。 AFL Fork Server 为了后面介绍 afl 的 qemu 模式和 unicorn 模式, 首先大概讲一下 afl 的 fork server 的实现机制。afl 与 fork server 的通信流程如图所示 首先 afl-fuzz 调用 init_forkserver 函数 fork 出一个新进程作为 fork server , 然后等待 fork server 发送 4 个字节的数据, 如果能够正常接收到数据则表示 fork server 启动正常。 fo

高等静态剖析

windows样本高等静态剖析之辨认汇编中C代码构造

跟进main函数剖析代码获得只要跟进上面的两个if语句内部,即满足这两个if语句的建立前提才能够打印出'Success: Parsed command is %c',而假如不满足前提就会退出,接着我们跟进sub_401000函数,剖析假如满足第一个if语句的跳转前提

windows样本高等静态剖析之辨认汇编中C代码构造

直接跟进sub_401000函数,和实例1的功用一样,须要联网才能够返回为1,即满足一个if建立前提

直接跟进第二函数sub_401040,剖析获得须要翻开 http://www.practicalmalwareanalysis.com/cc.htm 网页进入下一层if语句,接着读取到网页文件才能够进入末了一层if语句,在末了满足读取文件内容以<!-- 开首就能够将网页的第5个字符返回。

终究满足两个if语句的建立前提,打印出Success: Parsed command is %c

数组修复

windows样本高等静态剖析之辨认汇编中C代码构造

依据MSDN上的函数引见,我们晓得 InternetReadFile函数是向lpBuffer这个数组内写入数据的,大小有dwNumberOfBytesToRead决议

在剖析末了一个前提推断时,ida并没有辨认出这个函数的数组长度,所以背面三个比较都是用变量var_20F等来示意的。

windows样本高等静态剖析之辨认汇编中C代码构造

手动修复数组大小为512字节

windows样本高等静态剖析之辨认汇编中C代码构造

windows样本高等静态剖析之辨认汇编中C代码构造

如许IDA就能够辨认出这个函数的其他参数而且给其定名,响应的伪代码也能够辨认出位数组的元素了

 


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明windows样本高等静态剖析之辨认汇编中C代码构造
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址