标签:
木马大致流程:
1.先运行这个程序跑跑行为,发现会在temp文件中释放一个图片和两个tmp文件
2.会弹出一个“QQ登录框”,设置只能访问该窗口,而且只能点击登录按钮
木马分析:
1.注册窗口,并创建窗口 并通过API设置创建爱你风格,其中
2.通过LoadLibrary()和GetProcessAddress()函数动态获取函数地址
用到的主要的函数都是通过这个方法调用的。
关键函数:
(1)获取相关资源函数
FindResource() 确定指定模块中指定类型和名称的资源所在位置
LoadRsource()
LockProcAddress() 锁定内存中的指定资源,说白了就是返回资源在内存中的地址
CreaofResource()
SizeofResource()
(2)释放tmp文件函数
GetTempPath()
CreateFileA()
WriteFle()
DeleteFilA()
(3)查找进程函数
CreateToolhelp32Snapshot()
Process32First()
Process32Next()
GetCurrentProcessId()
(4)创建新进程
CreateProcessA()
3.调用上面获取到的函数的地址,开始进行恶意行为
(1)获取临时文件路径,用字符串拼接方式得到文件路径,在该文件夹下新建Dst123.jpg图片文件
(2)查找资源文件,并载入资源文件,图片的资源
3.随机生成tmp文件名,然后通过字符串拼接方式创建释放目录(两个tmp文件),并创建文件
这个tmp文件其实就是个pe文件。用WinHex打开
创建新的线程
分析新进程,用Peid分析,发下是被加壳了
esp定律法,直达OEP
获取当前进程id,然后
函数:
CreateProcess 创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件
_ismbblead 测试一个字符是否是多字节字符
无开机自启动行为
当前 52c
test账号:2254771648
标签:
原文地址:http://www.cnblogs.com/kangxiaopao/p/4551790.html
