银狐样本母体加载过程详细分析

文章预览

前言概述 原文首发出处： https://xz.aliyun.com/t/14998 先知社区 作者：熊猫正正 近日有朋友通过微信找到我，让我帮忙看一个银狐黑产团伙的样本，如下所示： 笔者针对这个银狐母体样本进行了详细分析，因为后面的加密数据已经失效，主要将整个母体的加载过程分享出来，供一些初入逆向的朋友学习参考。 详细分析 1.首先我们从样本start函数开始，如下所示： 2.跳转到恶意代码处，如下所示： 3.此处有延时执行，如下所示： 4.往下执行跳转到恶意代码，如下所示： 5.分配内存空间，然后将恶意ShellCode代码拷贝到该内存空间，并跳转到ShellCode代码执行，如下所示： 6.动态调试将恶意ShellCode代码拷贝到分配的内存空间，如下所示： 7.然后跳转执行到ShellCode代码，如下所示： 8.进入ShellCode代码，如下所示： 9.ShellCode代码会有一个解密操作，解密后面加 ………………………………