Scribd
Upload
13 views11 pages

Lab 7

mã độc

Uploaded by

haianhnguyen22102003
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
13 views11 pages

Lab 7

mã độc

Uploaded by

haianhnguyen22102003
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
You are on page 1/ 11

1.1.

Phân tích Lab12-01


Trong bài thực hành này, chúng ta sẽ thực hành file Lab12-1.exe.
CÔNG CỤ PEVIEW
- Cần chú ý đễn những dòng sau, chúng được sử dụng trong quá trình inject
mã độc.
 CreateRemoteThread
 WriteProcessMemory
 VirtualAllocEx
CÔNG CỤ STRING
- Sử dụng string để kiểm tra các chuỗi trong file Lab12-1.
- Tìm ba chuỗi sau đây, cho thấy quá trình tiêm các chuỗi này, tệp DLL và
psapi được sử dụng để liệt kê quy trình.
 Explorer.exe
 Lab12-01.dll
 Psapi.dll

CÔNG CỤ IDA PRO


- Mở file Lab12-01 trong IDA Pro, chọn Option, General, tích Line Prefixes
và chỉnh Number of opcode bytes thành 6.
- Tìm những đoạn code sau, chúng ở gần hàm main()
- Mã này sử dụng psapi ba lần để định vị hàm Windows API và lưu địa chỉ
của trong một địa chỉ số. Điều này làm xáo trộn mã, vì vậy những lệnh gọi
sau này đến các chức năng này sẽ khó nhận ra.
- Bạn cần gán nhãn cho các địa chỉ bộ nhớ này trong IDA Pro để giúp sau này
phân tích dễ dàng hơn.
- Phần đầu tiên của mã gán một con trỏ cho hàm EnumProcessModules.
 Ở dòng có địa chỉ 00401136, nhấp chuột phải vào dword_408714 và
nhấp rename.
 Nhập vào Name một tên mới là myEnumProcessModules, rồi nhấp
Ok

- Làm tương tự với dword_40870C đổi thành myGetModulesBaseA


- Làm tường tự với dword_408710 đổi thành myEnumProcess
- Nhấp chuột phải vào myGetModulesBaseNameA, chọn Jump tp xrefs of
operand.
- Xrefs hiện lên, có hình như bên dưới, cho thấy địa chỉ này chỉ được sử dụng
một lần, ở sub_401000. Sau đó chọn OK
-

- Ở đây liệt kê các modules và so sánh từng tên modules với explorer.exe, để
tìm được modules đã tiêm.
- Chắc chắn rằng bạn thấy ba mục sau:
 call myGetModuleBaseA
 “explorer.exe”
 call strnicmp
CÔNG CỤ PROCESS EXPLORER
- Giới thiệu công cụ Process Explorer:
 Process Explorer có chức năng quản lý các tiến trình chạy trên
Windows. Kết quả của tiến trình quét sẽ hiển thị ngay trên giao diện
của phần mềm.
 Giao diện của Process Explorer:

- Đóng IDA Pro, nhấp đúp Lab12-01 để chạy Malware.


- Một hộp hiện lên, nhấn OK để khởi động lại.
- Mở Process Explorer.
 Trong khung phía trên, cuộn xuống cuối danh sách, nhấp vào explorer
để chọn.
 Từ thanh menu, chọn “View”, và đảm bảo “Show Lower Pane” đã
được check.
 Trên thanh menu, chọn “View”, chọn “Lower Pane View”, chọn
DLLS.
 Trong khung bên dưới, tìm Lab12-01.dll đã được đưa vào
explorer.exe, như hình dưới đây.

You might also like