3. 用lordPE工具打开傀儡进程B进行修复,修复后的程序为C
LordPE工具打开傀儡进程B,点击“区段”
修复前
分别选中需要修改的行,右键“编辑区段”
由于dump出来的是傀儡进程的在内存中的拉伸状态,我们需要将其文件偏移改为内存偏移,编辑后如下:
退出lordPE工具,将修复后的傀儡进程B重命名为C
4. 复后的傀儡进程C有UPX,手工脱UPX壳,存为程序D
用PEiD打开修复后的傀儡进程C,发现有UPX壳。
(2)接下来就是手脱UPX壳,手脱UPX壳的方法有很多,大家可以网上找下相关资料,本实验用的是ESP定律法(到此步可以关闭所有打开的工具了)
OD打开修复傀儡进程C,单步执行1次,在esp处右键“数据窗口跟随”
设置断点
让程序运行起来,断下来后,观察程序有个大的jmp,在jmp语句按回车健,跳转过去
找到入口后,用OD插件,将程序dump出来
脱壳,将入口地址填到“入口地址修正为”的地方,点击获取EIP为OEP,重建输入表的选项是默认的不用动,点击脱壳,存到桌面为D.exe
将其用火绒剑打开,修复后的程序可以正常运行,关闭掉所有工具,pchunter停掉进程
5. IDA结合OD对D程序进行分析,发现了D**.exe****有加载资源的操作,加载进的内容是一个PE格式数据**
IDA打开D.exe观察imports表,有个函数LoadResource比较敏感,双击该API函数名称
查看引用该API函数地地方,ctrl+x,双击第一条语句跳转过去
在IDA中进程代码分析,发现该程序有个加载资源的操作,他加载什么到内存了,记录地址“0x00440085”[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yhi4rdhY-1628232006799)(file:///C:\Users\LIPENG~1\AppData\Local\Temp\ksohtml16580\wps25.jpg)]
图 25 IDA 分析代码
用OD打开D.exe程序,在“0x00440085”下断,让程序跑起来
程序断下来后,单步执行,eax记录了加载资源的地址,右键数据窗口跟随发现是一个PE格式的文件,我们需要对齐进行分析
6. 我们需要对上面PE格式数据进行分析,发现为远控木马客户端
该PE文件在D.exe源程序中,可以用010edit进行拷贝,Ctrl+G,起始地址为47058,那么我们拷贝多少呢?我们需要virtuallAlloc下断看看开辟空间大小。
先在virtualAlloc地方F2下断,让程序重新跑起来,待程序断下来后记录开辟空间大小为32A00
