本文为看雪论坛优秀文章
看雪论坛作者ID:逆时针向左
一
样本HASH
二
基本信息
三
行为分析
四
详细分析
使用 IDA 打开后,停在 WinMain 处,x32dbg 的 Base 为 0x00EF1000,在 IDA 中 Rebase 为 0x00EF0000,则 WinMain 的地址为 0x00EF1ECF:
第 1 次调用,解密字符串:SystemRoot\\SysWow64第 2 次调用,解密字符串:SystemRoot\\System32第 3 次调用,解密字符串:TEMP
第 1 次调用,解密字符串:cdnver.dll第 2 次调用,解密字符串:LOCALAPPDATA
rundll32.exe#1UserInitMprLogonScriptcdnver.dllEnvironmentLOCALAPPDATAcdnver.bat
startLOCALAPPDATAcdnver.dll#1rundll32.execdnver.bat
在 LOCALAPPDATA 目录下释放 dll 和 bat;
修改注册表实现持久化;
提权,加载执行 cdnver.dll。
看雪ID:逆时针向左
https://bbs.pediy.com/user-home-781904.htm
峰会回顾:https://mp.weixin.qq.com/s/eEbc8k8H9Pc2K0d_AHG3BA
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!