exe分析(一)

这是某道逆向师傅教的新手题,兴趣使然,分析学习一下

某恶意样本主机分析

验证主机运行程序数字签名情况

首先使用工具PCHunter32.exe,验证的是否存在数字签名,没有存在数字签名的被标注成粉紫色

1566889351387

可以看到名为Ias的动态链接库C:\WINDOWS\system32\Iasex.dll疑似恶意程序

1566960743394

查看恶意dllpid进程号

使用procexp.exe查看pid16进制值,点击下图标签Find–>Find Mandle or DLL

1566957909585

输入Iase,查找相关的dll文件

1566889701430

再使用IDA6.8Import搜索名为connect的函数,获得系统函数地址10012490,但这并不是调用的地址哦

使用IDA查找函数地址

1566888889357

双击点进去,发现该函数所占据的空间地址

1566957416113

然后按下Ctrl+x,跳进调用地址看看

1566958167350

发现调用地址10001DE4

1566958230819

查看connect函数使用方法

百度搜索“connect msdn”,点击第一个

1566963709544

关于connect函数我们可以登录官方网址

1566890578291

其中还有个SOCKET的地址,再看看其函数结构

1566890605940

使用Odbg分析程序

然后。。。。。。按下Ctrl+g,输入地址,进行跳转

1566958697312

可以看到,得到最终的结果50 AC 10 1A 26

1566960395472

1
2
3
4
5
hex(50)------>80
hex(AC)------>172
hex(10)------>16
hex(1A)------>26
hex(26)------>38

所得ip也就是172.16.26.38,端口80

我们再看看堆栈段,这样就很明显了啦

1566963532152

0%