某广告木马的分析

《某广告木马的分析》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、某广告木马的分析～教育资源库　　是未加壳的东西...　　od载入后~~~~　　00401796>55pushebp如口点　　004017978BECmovebp,esp　　004017996AFFpush-1　　一路的stepout,不要再细跟......(都是来判断系统环境变量代码,大同小异以前都有交代也就忽略了)　　004018C5E87DFCFFFFcall00401547关键的CALL,stepinto!　　很快的略过,跟进去~~　　0040154755pushebp来到这　　00401

2、5488BECmovebp,esp　　0040154A81EC10020000subesp,210　　0040155053pushebx　　0040155156pushesi　　004015A7E854FAFFFFcall00401000跳用为主体程序　　004015AC59popecx　　004015AD57pushedi;jianxia_.00403050

3、

4、name~　　edi=00403050(jianxia_.00403050),ASCIIpopsspa.dll　　用来创建了popsspa.

5、dll及调用　　004015D2FF152C204000calldp;KERNEL32.CreateThre>;KERNEL32.CreateThread　　00401660FF1540204000calldp;KERNEL32.GetModuleF>;KERNEL32.GetModuleFileNameA　　0040166EFF1548204000calldp;KERNEL32.GetSystemD>;KERNEL32.GetSystemDirectoryA　　以上3个函数为运行前

6、提的条件　　0040167A8D85F4FEFFFFleaeax,d32)　　eax=00000013　　用来存已经有获取系统的宿主目录　　00401690FFD6callesi　　004016928D85F4FEFFFFleaeax,d32popsspa.dll)　　eax=0012FE18,(ASCIID:32popsspa.dll)　　全路径D:32popsspa.dll　　还有.exe的释放,继续吧　　004016B8E843F9FFFFcall00401000还再次的调出病毒的主程序　　和以

7、上的过程类似　　004016C9E832F9FFFFcall00401000　　004016CE59popecx　　004016CF8D85F4FEFFFFleaeax,dp;KERNEL32.CopyFileA>>;KERNEL32.CopyFileA　　留了衍生物.....　　0012FD000012FE18

8、CmdLine=D:32popsspak.exe　　00401737E896FCFFFFcall004013D2开始了卑鄙地扫尾工作了!　　00401406BF40304000m

9、ovedi,00403040;ASCII.bat　　源文件命名的BAT批处理文　　堆栈[0012F68C]=00403010(jianxia_.00403010),ASCII:try,CR,LF,del　　堆栈[0012F68C]=0040301C(jianxia_.0040301C),ASCII,CR,LF,ifexist　　ecx=0012FFB0　　eax=00403010(jianxia_.00403010),ASCII:try,CR,LF,del　　eax=0040301C(jianxia_

10、.0040301C),ASCII,CR,LF,ifexist　　eax=0040302C(jianxia_.0040302C),ASCIIgototry,CR,LF,del%0　　004014ECFF1560204000calldp;KERNEL32.WriteFile>];KERNEL32.WriteFile　　会在宿主的源文件目录下生成一个以源文件命名的BAT批处理文件.格式为:　　:try　　delD:源文件目录~.exe12下一页友情提醒：，特别！　　ifexistD:源文件目录~.ex

11、egototry　　del%0　　大致的意思：获取源文件目录~.exe。如果有，删除源文件目录~.exe。　　不让人发现为了自删除原文件...这样就神不知鬼不觉~~~　　很多的广告软件多用这方法，可没想到用在了木马上！　　以后在获得了宿主的目录...然后就RUN!上一页12友情提醒：，特别！