记录一次DLL分析实战

记录一次DLL分析实战

1.VT查看分析报告

virustotal

全绿,没有报毒:

可以看到这个dll是32位的:

下面可以看它调用的其他dll:

以及它对外提供的函数接口:

其中RunCmd很可疑,看起来是调用cmd窗口的接口,后续需要重点关注

可以看到它联系的IP地址和域信息:

行为模块可以查看它恶意加载的流程:


2.判断文件是否加壳

使用 PEiD 可以查看该信息,如下无壳:

使用Exeinfo PE新一代查壳工具:

这款查壳工具的加壳特征库比较准确而且范围很广,如ThemIDA、WinLicense、VMProtect、ZProtect、Shielden都可以轻松识别出来,但对于具体加壳程序的版本都是模糊的


3.查看导入函数

用 Dependency Walker 可以看到导入函数

重点是 CreateProcessASleep 导入函数,这两个函数经常在后门程序中使用:

CreateProcessA 函数用于创建一个新的进程并执行指定的可执行文件。它是通过指定一组参数来启动新进程的,包括可执行文件的路径、命令行参数、安全属性等。该函数返回一个布尔值,表示新进程是否成功创建

Sleep 函数用于使当前线程暂时休眠一段指定的时间。它接受一个以毫秒为单位的时间参数,并把当前线程从运行状态转为休眠状态,直到指定的时间过去后再恢复运行


4.查看是否有任何其他文件或基于主机的迹象

使用 strings -n 4 -nobanner xxx.dll 指令查看 xxx.dll 中的字符串

如下,除了已知的 CreateProcessA 和 Sleep,我们还注意到 exec 和 sleep。exec 可能用于通过网络给后门程序传送命令 ,再利用 CreateProcess 函数运行某个程序 。sleep 可能用于让后门程序进入休眠模式


5.使用工具IDA Pro进行字符串分析

通过 View > Open Subviews > Strings,或者 Shift + F12 打开 Strings 窗口,使用 Strings 窗口,查看dll中的字符串:

相关推荐
专注_每天进步一点点31 分钟前
SLB(绑定弹性公网ip)-gateway-业务pod,gateway上出现reset by peer,业务pod上没有reset by peer
服务器·tcp/ip·gateway
csdn_aspnet1 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
ACP广源盛139246256732 小时前
GSV6155@ACP# 搭配 AI 服务器、AI PC 完整适配方案
大数据·服务器·人工智能·分布式·单片机·嵌入式硬件
Inhand陈工3 小时前
数据中心UPS无功补偿与智能化监控方案:基于IG502的Modbus RTU转IEC61850实战
运维·人工智能·物联网·信息与通信
qetfw3 小时前
CentOS 7 搭建 LDAP 目录服务
linux·运维·centos
IT方大同4 小时前
linux简介
linux·运维·服务器
Dear~yxy4 小时前
时间同步服务器搭建
运维·服务器
Gem_S_6085 小时前
产品任务流转工具实践:构建需求到交付的全流程协作体系
运维
项目管理与代码5 小时前
基于Webhook+消息队列的自动化项目进度跟踪方案设计
运维·自动化
wbs_scy5 小时前
仿 muduo 高并发服务器项目:实现 LoopThread 与 LoopThreadPool 多线程事件循环
运维·服务器