Amaliy ish 6 1. Ushbu dastur har safar ishga tushishini ta'minlash uchun MalService xizmatini yaratadi.
kompyuterni ishga tushirish vaqti.
2. Dasturning faqat bitta nusxasi bo'lishini ta'minlash uchun dastur mutexdan foydalanadi
bir vaqtning o'zida ishlaydi.
3. Biz HGL345 va MalService nomli mutexni izlashimiz mumkin.
4. Zararli dastur Internet Explorer 8.0 foydalanuvchi agentidan foydalanadi va www.malwareanalysisbook.com bilan o'zaro ishlaydi.
5. Ushbu dastur 2100-yil 1-yanvar yarim tungacha kutadi va keyin yuboradi
http://www.malwareanalysisbook.com/ ga ko'plab so'rovlar, ehtimol saytga tarqatilgan xizmat ko'rsatishni rad etish (DDoS) hujumi uchun
Bu erda qo'ng'iroqdan keyin chaqiriladigan sub_401040 ni belgilaydi
StartServiceCtrlDispatcherA.
Keyinchalik, quyida ko'rsatilgandek sub_401040 funksiyasini o'rganamiz.
ro'yxatga olish.
Quyidagi qo'ng'iroq quyidagi ro'yxatda ko'rsatilgan
Ushbu kod HGL345 2 nomli 1-manzilda mutex yaratadi.
To'liq yo'l CreateServiceA tomonidan yangi xizmat yaratish uchun ishlatiladi.
CreateService qo'ng'irog'i juda ko'p parametrlarga ega, ammo asosiylari qayd etilgan
keyingi ro'yxat.
CreateServiceA ning asosiy parametrlari BinaryPathName 1 ga, dwStartType 2 ga va dwServiceType 3 ga o'rnatiladi.
Keyin dastur CreateWaitableTimer, SetWaitableTimer va chaqiradi
Whiteforcesingleobject
Bu yerda ESI 0x14 hisoblagichi sifatida 1 ga o‘rnatiladi (o‘nlik kasrda 20).Sikl oxirida ESI 2-nuqtada kamayadi va 3-nuqtada nolga yetganda sikl qiymati chiqadi.
1-sonli t sikl oxiridagi jmp ko'rsatmasi shartsiz o'tishdir, bu kod hech qachon tugamasligini anglatadi; u InternetOpenUrlA 2 va chaqiradi www.malwareanalysisbook.com 3 bosh sahifasini abadiy yuklab oling.
JAVOBLAR laboratoriya 7-2
1. Ushbu dastur qat'iylikni ta'minlamaydi. U bir marta ishlaydi va keyin chiqadi.
2. Dastur foydalanuvchiga reklama veb-sahifasini ko'rsatadi.
3. Reklama ko'rsatilgandan so'ng dastur tugaydi.
Bu funktsiyalarning barchasi COM bilan bog'liq. CoCreateInstance, xususan, MAQOMOTI dan foydalanish OleInitialize funksiyalarini talab qiladi.
Zararli dastur qiladigan birinchi narsa COM-ni ishga tushirish va OleInitialize 1ga va CoCreateInstance 2ga o'rnatilgan MAQOMOTI ob'ektiga ko'rsatgichni olishdir. Qaytarilgan MAQOMOTI ob'ekti stekda IDA Pro tomonidan ko'rsatilganidek ppv deb belgilagan o'zgaruvchida saqlanadi. 3.
Ushbu yo'riqnomadan so'ng, EAX MAQOMOTI ob'ektining joylashgan joyiga ishora qiladi. 2-bandda EAX ga e'tibor berilmaydi va EDX MAQOMOTI ob'ektining boshlanishiga ishora qiladi.