欢迎光临散文网 会员登陆 & 注册

kernel32(它可能是史上最短命的木马病毒)

2023-03-25 19:33 作者:蔹娔洛艾-乌里苠卓汀  | 我要投稿

转自https://www.tiantuowang.com/post/11780.html

样本分析
安装包运行后,释放白利用文件到 %userprofile%\appdata\roaming\gkr2\目录下

目录结构如下:
其中%appdate%\GKR2\InstDrv.DLL 内存解密加载程序
%appdate%\GKR2\ktop.dat (Shellcode) 加密的核心木马程序
主程序启动后会自动加载导入表中的InstDrv.dll文件
InstDrv.dll部分
该DLL入口点并无异常
InstDrv.dll文件在初始化的过程中进行解密木马原文
加的偏移地址0xF0BC 其实是GetModuleHandle调试函数显示
后续函数为 然后执行到关键解密加载写入VBR模块函数,主要是读取本目录下的ktop.dat文件解密执行:
而sub_1000E7EE其实为获取Kernel32基地址,搜PEB中LDR结果体获取:
然后获取函数地址
函数主要 执行过程为
ShellCode部分
进入Shellcode后
调用DllMain函数
入口点函数为
开线程开始干活,打点上传用户信息
然后篡改系统VBR
VBR跳转执行
申请高端内存
判断特征码挂钩处理

kernel32(它可能是史上最短命的木马病毒)的评论 (共 条)

分享到微博请遵守国家法律