从银狐木马学习C++异常处理恶意手法

文章预览

样例0892792dc7783184451c6621b6e4a87c是一个MFC框架编写的恶意文件，上一篇文章《 如何缩短人工分析样本的时间 》提及了该文件在沙箱分析后是跑不出有效网络请求的，于是现在我们回归到手工分析的流程寻找一下原因，由于对MFC框架的文件静态分析会有些繁琐，需要一些技巧找到核心的代码位置，这篇文章需要对IDA的使用与C++相关知识和结构体有一定了解才可以比较好的理解与上手实践。 在沙箱记录的API信息中，我们可以很容易发现奇怪的痕迹（目的是省时间），例如一段由OutputDebugStringA函数调试打印输出的字符串。 根据这段字符串的线索，我们可以在IDA中通过字符串索引交叉引用功能找到对应的代码区域。 使用交叉引用后来到如下位置： 利用F5插件反编译功能后得到如下伪代码内容： 当我们继续对sub_401330函数进行交叉引用查询后发现位于如下位 ………………………………