小白对彩虹猫的简单分析

C++编写的,未加壳

在虚拟机跑了一下,观察了一下执行效果,用微步在线分析了一下。
创建了8个进程,目前我们还不太清楚这些进程做了什么事情

现在我们直接IDA分析,进入main函数

大致含义是根据参数来判断执行流程,如果参数小于等于1跳转到loc_40144f处,弹出两个窗口,如果我们都点击确认的话就会分配4000h的堆内存,并获取当前进程的路径;如果点否的话退出进程。

紧接着生成5个普通的进程和一个最高响应优先级的进程(进程的参数不同,详情见微步图),最后退出本进程


接下来我们分析参数大于1的情况
前面基本一样,都是获取进程的相关信息。接下来遍历进程,并将其与我们以前的信息做对比(在这看汇编有一点懵,最后用IDA的F5生成的伪C大概看懂了。)主要判断是否kill了进程,一旦kill了一个进程就调用sub_401021子函数。根据推测,子函数的主要功能是重启


接下来看看sub_401021()子函数的功能。IDA的识别好像有一点问题,百度了一下最后在看雪找到了解决方法
该函数主要创建了20个线程,并在最后调用了关机的函数。后面的写引导区因为能力不足暂时分析不了。

最后附上一张大致执行流程图

总结:第一次进行病毒分析,遇见了许多的坑,但还好都解决了。个人觉得平时真的应该自己动手分析一下,脑子会了,手不一定会
参考文章:https://bbs.pediy.com/thread-262873.htm#msg_header_h1_4
最后附上我的IDA分析数据库

本文来源于: https://xz.aliyun.com/t/9328

相关推荐

Thinkphp3漏洞点复现

配置数据库以及调试 路径 Code-audit/thinkphp_3.2.3_full/ThinkPHP/Conf/convention.php 配置 /* 数据库设置 */ 'DB_TYPE' => 'mysql', // 数据库类型 '

PHP 原生类的利用小结

前言 在CTF题目中,好几次都遇到了利用 PHP 原生类进行XSS、反序列化、SSRF以及XXE的思路,一直想好好看一下 PHP 原生类在 CTF 中的利用,迫于生活xx拖了好久。今天终于有机会好好总结总结了。常遇到的几个 PHP 原生类有

58集团白盒代码审计系统建设实践1:技术选型

原文链接:https://mp.weixin.qq.com/s/d9RzCFkYrW27m1_LkeA2rw 背景 源代码安全检测是安全开发流程(SDL)中非常重要的一部分,在58集团的CI/CD流程中每天有数千次量级的构建及发布,白盒检测

macos 内存分配学习笔记

学习的 ppt 感谢 AngelBoy1 地址 基础 在macOS中利用的是 libcmalloc 在这个模式中 堆块对应为 tiny small large tiny (Q = 16) ( tiny < 1009B ) small (Q

一次从内网到外网,黑盒到白盒的批量挖洞经历

前言:此次挖洞较为基础,分析得不足的地方望大佬指正。 内网挖洞: 建议像我这样入门不久的可以拿自己学校内网练练手先(得授权),再在在教育行业SRC等漏洞平台上挖掘漏洞,赢得认可,获取些动力。<大佬的当我没说 0.0> 向信息中心的老师申请了

Java安全之Fastjson反序列化漏洞分析

0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前,还需要学习一些Fastjson库的简单使用。 Fastjson概述 Fas

java反序列化知识总结和一些ctf的例题

java反序列化知识总结和一些ctf的例题 反序列化知识: 对于web手来说,php的反序列化一定不陌生,php的反序列化一般关注的就是魔术方法的调用和动态函数的执行这些,在java这里对参数类型这些要求严格,所以不能像php那么轻松的挖掘

使用 CVE-2020-2555 攻击 Shiro

前言 前段时间项目上遇到一个部署在 Weblogic 上存在漏洞的 Shiro 应用,于是参照 Y4er 师傅的文章 《使用WebLogic CVE-2020-2883配合Shiro rememberMe反序列化一键注入蚁剑shell》 的

【漏洞预警】ntopng 权限绕过与任意代码执行漏洞(CVE-2021-28073/CVE-2021-28074)

2021年3月24日,阿里云应急响应中心监测到国内某安全团队公开披露 ntopng 权限绕过与任意代码执行漏洞,其CVE号为 CVE-2021-28073、CVE-2021-28074。 漏洞描述 ntopng是一款基于Web的流量分析

【漏洞预警】Apache Druid 远程代码执行漏洞(CVE-2021-26919)

2021年3月30日,Apache Druid官方发布安全更新,修复了由蚂蚁安全非攻实验室 @fantasyC4t 上报的 CVE-2021-26919 Apache Druid 远程代码执行漏洞。 漏洞描述 Apache Druid

【漏洞预警】VMware vRealize Operations Manager SSRF与文件写入漏洞

2021年3月31日,阿里云应急响应中心监测到 VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 V