星途 · 小镇
文章 标签 分类 关于
星途 · 小镇

目录

RAT病毒分析

 收录于 逆向分析
   约 522 字   预计阅读 2 分钟 

样本来源

概述

好久没有分析练习了

PEID

https://qiniusave.xint.top/img/image-20200409170429252.png

应该是C/C++开发的,节表四个很正常

https://qiniusave.xint.top/img/image-20200409170541686.png

透明图标,大小136KB 139,264 字节

火绒剑

https://qiniusave.xint.top/img/image-20200409171108334.png

没有其他多余的操作,打开之后直接开始尝试连接主机

通过ping,确认服务器是活着的,但是服务端有没有不知道

119.167.182.164:15950

服务器探索

nmap

通过命令 nmap -T4 -O -A -v 119.167.182.164 检查服务器开启端口

端口

Discovered open port 8080/tcp on 119.167.182.164
Discovered open port 3389/tcp on 119.167.182.164
Discovered open port 80/tcp on 119.167.182.164
Discovered open port 9/tcp on 119.167.182.164
Discovered open port 2002/tcp on 119.167.182.164
Discovered open port 1433/tcp on 119.167.182.164
Discovered open port 2107/tcp on 119.167.182.164
Discovered open port 2009/tcp on 119.167.182.164

看到开启了 8080 但是访问无效

3389 可能是windows服务器

80 访问也是无效

1433 表示安装了mssql?

1433/tcp open ms-sql-s Microsoft SQL Server 14.00.1000.00

| ms-sql-ntlm-info:

| Target_Name: WIN-EIK3KA7QGQO

| NetBIOS_Domain_Name: WIN-EIK3KA7QGQO

| NetBIOS_Computer_Name: WIN-EIK3KA7QGQO

| DNS_Domain_Name: WIN-EIK3KA7QGQO

| DNS_Computer_Name: WIN-EIK3KA7QGQO

|_ Product_Version: 10.0.14393

操作系统

Aggressive OS guesses: Linux 2.6.18 - 2.6.22 (91%), Microsoft Windows Server 2016 (90%), Microsoft Windows Vista Home Premium SP1 (90%), Microsoft Windows Server 2008 R2 (89%), Microsoft Windows 10 1511 - 1607 (87%), Microsoft Windows 10 1607 (87%), Microsoft Windows 7 SP1 or Windows Server 2008 R2 (87%), Microsoft Windows Server 2008 (86%), Microsoft Windows 7 SP1 (86%), Microsoft Windows 7 or Windows Server 2008 R2 (86%)

nmap认为91%可能是linux ,但是我感觉还是windows server,一般来说 开了3389 和 安装了 mssql 的话,windows 可能性更大

wrieShark

https://qiniusave.xint.top/img/image-20200409172145543.png

可以看到,程序尝试连接服务端 但是 服务端返回了 RST 标志,那么服务端可能没有运行

IDA静态分析

上了就遇到一个下马威,遇到不少问题

更新于 2019-08-02
 病毒逆向分析
返回 | 主页