[病毒分析]熊猫烧香(中)病毒释放机理(二)

简介: [病毒分析]熊猫烧香(中)病毒释放机理

3、sub_403ED4子函数

我们接着来分析下一个函数,打开IDA

image.png

第一步 打开OD

image.png返回的第一句代码是将我们之前所获取的不带文件名的地址赋值给EAX。


  • lea eax, dword ptr ss:[ebp-0x3B4]


我们选中EAX在数据窗口中跟随,可以看到对应的值是“01BD0140”

image.png

我们在数据窗口跟随ctrl+G,看到如下:是不带文件名的文件路径,现在的EAX就是保存的这个值

image.png

第二步 继续分析代码,接下来将**“Desktop_.ini”赋值给EDX。注意,0x44表示为D(十进制68对应的ASCII码)。**

image.png

第三步 通过IDA大致看看call函数sub_403ED4

image.png

单纯这样看,很难分析出它的具体功能,我们不妨只关注他的两个参数。观察执行完该函数后的参数有什么变化;


第四步 留意数据窗口,然后按F8执行


可以看到刚才所获取的不带文件的路径名,在其后面增加了一个“Desktop_.ini”,从而组成了新的字符串。

1.png

分析到这里我们就知道了sub_403ED4功能是将上面所获取的不带文件名的路径地址赋值给eax,然后将字符串“Desktop_.ini”的地址赋给edx。

总结,重命名及对应功能如下:

  • sub_403ED4 -> StringCat
  • 功能:拼接字符串,包含“Desktop_.ini”后缀

image.png

4、sub_4057A4子函数

继续分析sub_4057A4子函数

image.png

第一步 在OD中查看EAX的地址,选中堆栈数值,右键“数据窗口中跟随数值”

image.png

可以看到,它的这个参数是我们之前已经连接好的字符串的首地址。

  • 0x020F0138

image.png

第二步,按下F8运行至Call 4057A4函数,再按F7进入该函数分析。

image.png

继续按下F7进入call 0040573C,发现有个FindFirstFileA函数,我们直接来看看它的参数。注意,很多时候右边注释内容是没有的,需要我们手动分析。

image.png

按下F8执行到函数调用前位置,可以看到EAX中存放是的是刚才连接出来的字符串。该函数的作用就是说明要查找当前目录下Desktop_.ini文件是否存在。

  • C:\Users\14551\Desktop\Desktop_.ini

image.png

总结,重命名及对应功能如下:

  • sub_4057A4 -> CheckFileExist
  • 功能:检测文件“Desktop_.ini”是否存在
相关文章
|
Web App开发 开发框架 安全
网络安全实验四 熊猫烧香病毒剖析
网络安全实验四 熊猫烧香病毒剖析
295 0
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(一)
[病毒分析]熊猫烧香(中)病毒释放机理
180 0
[病毒分析]熊猫烧香(中)病毒释放机理(一)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(三)
[病毒分析]熊猫烧香(中)病毒释放机理
173 0
 [病毒分析]熊猫烧香(中)病毒释放机理(三)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(四)
[病毒分析]熊猫烧香(中)病毒释放机理
148 0
[病毒分析]熊猫烧香(中)病毒释放机理(四)
|
安全
[病毒分析]熊猫烧香应急处理方法(下)
[病毒分析]熊猫烧香应急处理方法
178 0
[病毒分析]熊猫烧香应急处理方法(下)
|
开发框架 安全 前端开发
[病毒分析]熊猫烧香应急处理方法(上)
[病毒分析]熊猫烧香应急处理方法
304 0
[病毒分析]熊猫烧香应急处理方法(上)
|
机器学习/深度学习 云安全 人工智能
勒索病毒的彻底终结 主动式防御的剑与魔法
勒索病毒的彻底终结 主动式防御的剑与魔法
勒索病毒的彻底终结 主动式防御的剑与魔法
|
安全
Conficker病毒新变种卷土重来 可关闭杀毒软件
据国外媒体报道,安全厂商赛门铁克今天表示,发现了Conficker蠕虫病毒的一个新变种,它可以识别被感染计算机上的反病毒软件或安全分析工具,并试图关闭这些程序。 Conficker蠕虫病毒自出现以来,已经感染了全球上千万台计算机,但是该病毒最初的行为只是恶意传播自身,并不会给感染计算机带来进一步伤害。
1030 0