提示:为了阻止恶意代码破坏系统,恶意代码已经被配置向一个硬编码的回环地址发送信令,但是可以认为其是一个硬编码的外部地址

LoadString:这个成员函数是在调用String Table里面定义的信息,也就是说,把String Table中的字符串读出来到对象里

CreateEvent:产生事件对象,如果调用成功,返回的是新生成的对象句柄,否则是NULL

CreatePipe:创建匿名管道,第一个参数是hReadPipe,返回对管道读的句柄,第二个参数是hWritePipe,返回对管道写的句柄,第三个参数是lpPipeAttributes,是一个指向SECURITY_ATTRIBUTES结构体的指针

然后是一系列对于多线程的操作跳过

关注一下结尾的401880:

GetModuleFileName:获取当前进程已加载模块的文件的完整路径,该模块必须由当前进程加载

GetShortPathName:获取指定路径的短路径形式

最关键是下面这一行:


看一下这个结构体的定义:

typedef struct _SHELLEXECUTEINFO {
  DWORD     cbSize;//结构大小,sizeof(SHELLEXECUTEINFO)
  ULONG     fMask;//指定结构成员的有效性
  HWND      hwnd;//父窗口句柄或出错时显示错误父窗口的句柄,可以为 NULL
  LPCTSTR   lpVerb;//指定该函数的执行动作
  LPCTSTR   lpFile;//操作对象路径
  LPCTSTR   lpParameters;//执行参数,可以为 ULL
  LPCTSTR   lpDirectory;//工作目录,可以为 NULL
  int       nShow;//显示方式
  HINSTANCE hInstApp;//如果设置了 SEE_MASK_NOCLOSEPROCESS ,并且调用成功则该值大于32,调用失败者被设置错误值
  LPVOID    lpIDList;//ITEMIDLIST结构的地址,存储成员的特别标识符,当fMask不包括SEE_MASK_IDLIST或SEE_MASK_INVOKEIDLIST时该项被忽略
  LPCTSTR   lpClass;//指明文件类别的名字或GUID,当fMask不包括SEE_MASK_CLASSNAME时该项被忽略
  HKEY      hkeyClass;//获得已在系统注册的文件类型的Handle,当fMask不包括SEE_MASK_HOTKEY时该项被忽略
  DWORD     dwHotKey;//程序的热键关联,低位存储虚拟关键码(Key Code),高位存储修改标志位(HOTKEYF_),当fmask不包括SEE_MASK_HOTKEY时该项被忽略
  union {
    HANDLE hIcon;//取得对应文件类型的图标的Handle,当fMask不包括SEE_MASK_ICON时该项被忽略
    HANDLE hMonitor;//将文档显示在显示器上的Handle,当fMask不包括SEE_MASK_HMONITOR时该项被忽略
  } DUMMYUNIONNAME;
  HANDLE    hProcess;//指向新启动的程序的句柄。若fMask不设为SEE_MASK_NOCLOSEPROCESS则该项值为NULL。
                     //但若程序没有启动,即使fMask设为SEE_MASK_NOCLOSEPROCESS,该值也仍为NULL。
                     //如果没有新创建进程,也会为空
} SHELLEXECUTEINFO, *LPSHELLEXECUTEINFO;

然后分析其他函数:

401000是一个变形BASE64

4015C0像是主控手函数:

这个循环像是遍历功能列表,401800

只要不是exit,就执行这个操作


然而,并不能回答一个问题

说明需要配置一个动态调试的环境辅助分析

问题1:恶意代码编写时直接使用IP地址的好处和坏处是什么?

攻击者可能会发现静态IP地址比域名更难管理。使用DNS允许攻击者将他的系统部署到任意一台计算机上。仅仅改变DNS地址就可以重定向其僵尸主机。对于这两种类型的基础设施,防御者有不同的选项来部署防御系统。但是由于同样的原因,IP地址比域名更难处理。这个事实会让攻击者选择静态IP地址,而不是域名。


问题2:网络库?


问题3:URL信息源?


问题4:HTTP协议?


问题5:初始信令中传输的是哪种信息?


问题6:通信信道设计的缺点


问题7:编码方案是否标准


问题8:通信如何终止


问题9:代码目的











https://www.cnblogs.com/hyq20135317/p/5515675.html

https://www.cnblogs.com/cqubsj/p/5852203.html

https://www.52pojie.cn/thread-330528-1-1.html