Cần các bro hỗ trợ về phân tích malware

[freshman]

E đang tự học phân tích malware và làm theo hướng dẫn trên jmprsp.wordpress.com và cần hỗ trợ yêu cầu số 4 trong bài lab 19
Link lap 19: https://jmprsp.wordpress.com/2016/06...sis-lab-19-02/
yêu cầu 4 e k làm theo được
đây là link để down malware sample
https://practicalmalwareanalysis.com/labs/
ảnh là các bước hướng dẫn yêu cầu số 4 nhưng k hiểu ý của họ.

 

Bạn đợi Mod HustReMw hỗ trợ nhé.

 

Chào bạn

- Bước số 4 ở đây bạn nhắc tới có mục đích sau:
+ Phân tích đoạn động code mà malware inject vào IEXPLORE.exe

- Các bước phân tích động đoạn code này trong olly
+ Đặt breackpoint ở hàm WriteProcessMemory và F9 để chạy tới hàm này - hàm này có mục đích ghi code từ process malware vào process IEXPLORE.exe
+ Tới được hàm WriteProcessMemory sẽ có một tham số là địa chỉ buffer code(0x407030)). Tìm đia chỉ đó sửa mã hex byte đầu tiên thành 0xCC(breackpoint).
+ Bước tiếp theo vào phần Attach của olly để attach process IEXPLORE.exe. (Tới đây chưa debug được code inject đâu nhé)
+ Quay lại olly mà đang debug malware. Ấn F9 để malware chạy. Quay sang olly đang attach IEXPLORE.exe. Lúc này sẽ dừng ở địa chỉ code inject. Lúc này bạn có thể bắt đầu debug code inject trong IEXPLORE.exe

 

+ Quay lại olly mà đang debug malware. Ấn F9 để malware chạy. Quay sang olly đang attach IEXPLORE.exe. Lúc này sẽ dừng ở địa chỉ code inject. Lúc này bạn có thể bắt đầu debug code inject trong IEXPLORE.exe [/Hide][/Hide][/Hide]

attack xong thì sử dụng nút

 

cần 2 cửa sổ olly bạn ạ: olly đang debug con malware và một để debug code inject trong iexplore.exe

 

bây h olly đã dừng ở địa chỉ inject code, nhưng e k biết phân tích tiếp theo ntn để lấy đc import của nó.
các lệnh debug k chạy được nữa
ảnh vị trí code dừng lại

 

Ok bạn. Tới đây là tuyệt với rồi. Tiếp theo bạn nhớ lại 1byte đầu buffer ở hàm WriteProcessMemory để sửa lại 0xCC bên IEXPLORE.exe @@