标签:src 通信 sea 文件 过程 tor tcp arch crt
Lab01-01.dll
kerne132.dll
没有子进程
根据应用程序全名,只要寻找其TCP连接,打开文件,读文件,写文件,创建进程的信息
创建了进程,应该就是主进程
有读文件的过程,可pf文件是预读文件,可以加快程序的加载速度,没有什么和网络连接的内容
有一系列的打开文件但都是系统本身的文件
没有找到写文件和TCP连接,说明没有连接外部的恶意网址,也没有写什么恶意信息
pf文件就在对应的路径下,windows检测无毒
ip.addr == 127.26.152.13 or ip.src == 127.26.152.131
始终没有通信包
静态分析中找到的线索在XP中完全找不到
快照前后两次的哈希值没有变化
从网上找来的文件,感觉是配套用的
Strings v2.53 - Search for ANSI and Unicode strings in binary images.
Copyright (C) 1999-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
!This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.data
.reloc
SUV
h8`
fj
h8`
L$xQh
h(`
RVf
D$"
-(
j
IQh `
~
|$4
D$$
L$4PQj
D$\D
_^]
u?h
f
%d`
Y^j
=X`
WVS
WVS
NWVS
u7WPS
u&WVS
WVS
_^[]
%
CloseHandle
Sleep
CreateProcessA
CreateMutexA
OpenMutexA
KERNEL32.dll
WS2_32.dll
strncmp
MSVCRT.dll
free
_initterm
malloc
_adjust_fdiv
exec
sleep
hello
127.26.152.13
SADFHUHF
/0I0[0h0p0
141G1[1l1
1Y2a2g2r2
3!3}3
可以ping通,但访问不了,可能是个本地回环地址
找不到域名
导出表为全空,一个dll文件竟然没有导出表,感觉别的程序也用不了啊,太离谱了呀
在olldbg中根本没有127.26.152.13这个IP,也没有看到什么正常的文件名,只找到了这个Lab01-0.10026028
搜不到
按优先级排序
结论1:这不是个恶意软件
结论2:缺少Lab01-01.dll的必要信息,导致复制内容的关键一步无法执行
结论3:Lab01-01.dll本身是错误的,无用的,需要修改(比如说导出表)
Lab01-01.dll(不在程序中也没有联网信息)标签:src 通信 sea 文件 过程 tor tcp arch crt
原文地址:https://www.cnblogs.com/wqnmlkb/p/14826336.html
