专栏名称: 安全分析与研究
专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动
今天看啥  ›  专栏  ›  安全分析与研究

银狐样本母体加载过程详细分析

安全分析与研究  · 公众号  ·  · 2024-07-26 09:51
    

文章预览

前言概述 原文首发出处: https://xz.aliyun.com/t/14998 先知社区 作者:熊猫正正 近日有朋友通过微信找到我,让我帮忙看一个银狐黑产团伙的样本,如下所示: 笔者针对这个银狐母体样本进行了详细分析,因为后面的加密数据已经失效,主要将整个母体的加载过程分享出来,供一些初入逆向的朋友学习参考。 详细分析 1.首先我们从样本start函数开始,如下所示: 2.跳转到恶意代码处,如下所示: 3.此处有延时执行,如下所示: 4.往下执行跳转到恶意代码,如下所示: 5.分配内存空间,然后将恶意ShellCode代码拷贝到该内存空间,并跳转到ShellCode代码执行,如下所示: 6.动态调试将恶意ShellCode代码拷贝到分配的内存空间,如下所示: 7.然后跳转执行到ShellCode代码,如下所示: 8.进入ShellCode代码,如下所示: 9.ShellCode代码会有一个解密操作,解密后面加 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览