某恶意样本主机分析
验证主机运行程序数字签名情况
首先使用工具PCHunter32.exe,验证的是否存在数字签名,没有存在数字签名的被标注成粉紫色
/1566889351387.png)
可以看到名为Ias的动态链接库C:\WINDOWS\system32\Iasex.dll疑似恶意程序
/1566960743394.png)
查看恶意dll的pid进程号
使用procexp.exe查看pid的16进制值,点击下图标签Find–>Find Mandle or DLL
/1566957909585.png)
输入Iase,查找相关的dll文件
/1566889701430.png)
再使用IDA6.8在Import搜索名为connect的函数,获得系统函数地址10012490,但这并不是调用的地址哦
使用IDA查找函数地址
/1566888889357.png)
双击点进去,发现该函数所占据的空间地址
/1566957416113.png)
然后按下Ctrl+x,跳进调用地址看看
/1566958167350.png)
发现调用地址10001DE4
/1566958230819.png)
查看connect函数使用方法
百度搜索“connect msdn”,点击第一个
/1566963709544.png)
关于connect函数我们可以登录官方网址
/1566890578291.png)
其中还有个SOCKET的地址,再看看其函数结构
/1566890605940.png)
使用Odbg分析程序
然后。。。。。。按下Ctrl+g,输入地址,进行跳转
/1566958697312.png)
可以看到,得到最终的结果50 AC 10 1A 26
/1566960395472.png)
1 | hex(50)------>80 |
所得ip也就是172.16.26.38,端口80
我们再看看堆栈段,这样就很明显了啦
/1566963532152.png)