来自 安全 2021-05-03 03:09 的文章

ddos怎么防_防御攻击cc_怎么防

ddos怎么防_防御攻击cc_怎么防

特洛伊滴管的故事2分析:让我们详细分析一下PE文件,看看它在做什么。与大多数恶意软件一样,此示例是打包的,为了正确分析它,我们必须从解包二进制文件开始。记住这一点,我从调试文件开始,希望找到对数据段的引用,以便精确地确定在哪里可以找到数据的加密部分。幸运的是,我没有失望,很快就找到了参照点。图1:经过进一步的调试,我们可以看到代码在内存中被解密。解密在多次迭代中进行,直到数据被完全解密。图2:模糊数据的解密现在我们有了内存中解密代码的完整视图。被解密的部分包含与位置无关的代码(即外壳代码)。图3:内存中的解密数据由于代码是在内存中解密的,我们可以假设在某个时刻,控制权将被转移到该区域,在这种情况下,这会立即发生。我们还可以看到VirtualProtectEx API用于更改内存区域的保护,通过这样做,恶意软件将能够执行和操作内存。图4:更改内存保护在发生这种情况后,通过jmpedi的指令将控制权转移到该区域。在这里,EDI将保存EIP(指令指针)所指向的地址,我们可以看到它是之前解密的代码的同一部分。图5:控制权转移到新代码这里有一个有趣的代码,如果我们看一下登陆区域的前几条指令。我们可以看到一个NOP指令,然后是SUB EAX、EAX和一个CALL和POP EBX。如果我们仔细观察被调用的地址,它就是POP EBX的地址。这是外壳代码和文件感染程序中常见的技术,需要获取当前正在执行的区域的地址。执行此调用时,它将返回地址推送到堆栈上(在本例中,它是POP EBX的地址)。现在执行POP-EBX,因为该指令将值从栈顶弹出到EBX。然后将地址添加到0x33常量中,免费ddos集群防御,ddos防御更换ip,以指向随后由解密循环解密的区域。这将显示更多的代码,之后JMP指令将控制权转移到新显示的代码。此外,我在这里还发现了另一段有趣的代码。下面的代码检索PEB(process environment块)的地址并导航到PEB_LDR_DATA->InLoadOrderModuleList,在这里它检索加载的模块(DLL)的名称。图6:获取kernel32.dll的基址这里有另一个捕获。该恶意软件寻找特定的DLL(在本例中是kernel32.DLL),但它没有使用字符串kernel32.DLL与从PEB检索到的模块名进行比较,而是携带DLL名称的哈希值,然后计算检索到的模块名称的哈希值并进行比较。这使得恶意软件能够产生最小的噪音并避免一些防病毒规则。图7:Dll名称散列一旦恶意软件获得kernel32.Dll,它就会检索kernel32.Dll的基址,在本例中是0x7c800000。现在,使用PE文件格式,恶意软件移动到kernel32.dll的导出表中,如下面的代码所示,linux下ddos防御,图8:查找kernel32.dll的exportaddresstable,查看指令MOV EBX,网站如何防御cc,DWORD PTR DS:[EAX+78]上面的代码,将我们带到kernel32.dll的datadirectory-->exportaddresstable。然后,恶意软件检索该值并将其添加到imagebase(即0x7c800000)以到达导出表,在该表中检索导出函数的地址。在这里,恶意软件从不使用函数的名称,而是使用存储的哈希。在进一步分析之后,我们偶然发现了另一段代码,它再次将数据从数据段复制到新分配的内存区域。图9:复制更多的数据进一步调查,我们可以看到这些数据被解密以显示类似于某种地址表的内容。图10:地址表该表具有重要意义,因为它被用作地址计算器,用来计算从中复制大容量数据的区域的地址,增加带宽ddos防御,然后将其进一步解密以形成类似压缩文件的内容。图11:压缩后的数据。接下来,我们进入解压程序,很快发现数据是用"aplib"压缩的。图12:Aplib解压例程解压完成后,它会执行一些熟悉的操作,从imagebase 0x400000开始清除原始EXE文件的字节,并将解压缩的数据复制到新的imagebase(即0x400000)图13:最终复制解压缩的PE文件使用"LoadlibraryEx"和Getprocaddress在内存中重建IAT,之后控制权被转移到地址0x401021的新代码图14:在内存中重建IAT此代码的作业受到限制。它将一个PE文件写入临时文件夹,并将其嵌入到临时文件夹中Adobe.exe使用api"gettemppath"。图15:将控制权转移到OEP,文件(Adobe.exe)被放入temp文件夹中并使用API"ShellExecuteA"执行。图16:执行删除"Adobe.exe"一个伪PDF文件也被写入当前目录,名为"贝斯特伦.pdf". 在随后的博客文章中,我们将了解恶意软件为什么会丢弃此PDF文件。现在到此为止。在下一篇文章中,我们将继续分析删除的文件"Adobe.exe"  Zscaler_媒体_中心2_博客_发布_1-R1