求高人解释一个病毒行为分析（添加样本）求教学

显示全部楼层 · 发表于 2013-4-15 15:50:01

本帖最后由 guochengguang 于 2013-4-15 15:55 编辑

求解一木马行为分析，行为的作用和原理。越详细也好。坐等大师降临。求教啊求教！！
火眼：http://fireeye.ijinshan.com/anal ... 49966190&type=1

显示全部楼层 · 发表于 2013-4-15 15:52:25

上样本。还有你在解答区上的火眼截图和地址

显示全部楼层 · 发表于 2013-4-15 15:53:19

真小读者发表于 2013-4-15 15:52
上样本。还有你在解答区上的火眼截图和地址

忘记了抱歉我去补

显示全部楼层 · 发表于 2013-4-15 16:36:39

。。图中不是写的很清楚吗

显示全部楼层 · 发表于 2013-4-15 16:37:57

sanhu35 发表于 2013-4-15 16:36
。。图中不是写的很清楚吗

不是很明白所以来求教学来了。

显示全部楼层 · 发表于 2013-4-15 16:41:52

guochengguang 发表于 2013-4-15 16:37
不是很明白所以来求教学来了。

用HIPS监控的话，很简单，前面的几步就是对cmd.exe 修改内存，然后在cmd.exe中创建远程线程，或者说插入病毒dll工作，这时候cmd就被病毒控制了。然后调用cmd删除自身文件，这时候看似没有病毒了，其实cmd.exe做的就是病毒的行为，然后加载驱动或者添加服务进行提权、添加自启动项什么的。

显示全部楼层 · 发表于 2013-4-15 16:49:55

sanhu35 发表于 2013-4-15 16:41
用HIPS监控的话，很简单，前面的几步就是对cmd.exe 修改内存，然后在cmd.exe中创建远程线程，或者说插入 ...

行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%system%\cmd.exe

这个就是说明他可以加载到命令提示符中，然后操纵命令提示符去执行相关的后续指令吗？

显示全部楼层 · 发表于 2013-4-15 16:50:55

guochengguang 发表于 2013-4-15 16:49
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息 ...

意思是这个意思。

显示全部楼层 · 发表于 2013-4-15 16:52:18

本帖最后由 guochengguang 于 2013-4-15 16:54 编辑

sanhu35 发表于 2013-4-15 16:50
意思是这个意思。

通过APC调用机制，远程注入代码并执行。那这条行为描述的是神马呢，小白，请轻喷。多谢指教

显示全部楼层 · 发表于 2013-4-15 16:56:22

guochengguang 发表于 2013-4-15 16:52
通过APC调用机制，远程注入代码并执行。那这条行为描述的是神马呢，小白，请轻喷。多谢指教

你不要管他描述的是神马代码调用机制，你只要知道是把病毒代码注入到cmd.exe就行了。

它就算是说火星、外太空、远古、未来注入技术，那也是注入。

[病毒样本] 求高人解释一个病毒行为分析（添加样本）求教学

本帖子中包含更多资源