iT邦幫忙

2024 iThome 鐵人賽

DAY 11
0
Security

惡意程式分析系列 第 11

【Day11】WannaCry逆向 - 靜態分析(三)

  • 分享至 

  • xImage
  •  

靜態分析流程

這篇的內容會聚焦步驟5
image

5. PE Parsing PE文件分析

PE文件就是windows中的.exe執行檔
在Linux會叫做ELF

PE的結構會長這樣
1
(Source : https://0xrick.github.io/win-internals/pe2/)

主要分析NT Headers的部分
我們使用PE Bear

File Header

TimeDataStamp(編譯時間) : 2010/11/20
Size of OptionalHeader : 通常0xe0為32bit

image
Characteristics : 檔案屬性,可參考下圖
image

Optional Header

有很多
image

但我們主要看DataDirectory中的Import Directory的部分
image
可以看到他Address = A1E0
接下來可以進行一些計算,就會得到Import Directory真正的起始位址
就可以知道import了哪些東西
這裡我們直接用PE-bear看就先不算惹

Imports dll

總共有7個dll
分別為
Kernel32.dll
Advapi.dll
Ws2_32.dll
Msvcp60.dll
iphlpapi.dll
Wininet.dll
Msvcrt.dll
image
接下來我們來看在dll中,呼叫了哪些函數

Kernel32.dll

圖片1

Advapi.dll

image

Ws2_32.dll

image
Ordinal為hex型態,把Oridinal轉為decimal之後透過查表/IDA可以看出呼叫了這些
image
(查表 : https://github.com/phracker/HopperScripts/blob/master/ws2_32.txt)

Ordinal 3: closesocket
Ordinal 10 : ioctlsocket
Ordinal 13: listen
Ordinal 8: htonl
Ordinal 14 : ntohl
Ordinal 115: WSAStartup
Ordinal 11: inet_ntoa
Ordinal 12: inet_ntoa
Ordinal 9: htons
Ordinal 17: recvfrom
Ordinal 4: connect
Ordinal 11: inet_addr

Msvcp60.dll

image
改用ida看
image

iphlpapi.dll

image

Wininet.dll

image

Msvcrt.dll

圖片3

後記

今天得知了有哪些dll與函數
明天來透過呼叫的這些函數
去猜測這隻程式可能會有哪些功能!

參考資料

Book : Windows APT Warfare:惡意程式前線戰術指南(第二版)
PE File
PE文件屬性


上一篇
【Day10】WannaCry逆向 - 靜態分析(二)
下一篇
【Day12】WannaCry逆向 - 靜態分析(四)
系列文
惡意程式分析13
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言