微信公众号：渊龙Sec安全团队
为国之安全而奋斗，为信息安全而发声！
如有问题或建议，请在公众号后台留言
如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们

前言

恶意样本分析报告（二）来啦哈哈~ 

最近利用周末分析了两个病毒样本，该两个病毒是同一个组织制作的，所以行为非常相似

其中第二个病毒是第一个病毒的加强版，出来的时候都是VT 0 报毒全免杀的，都运用了虚拟机检测机制，让我们来揭开他们的面纱

相信通过我的分析思路，能让各位师傅有所收获

样本1：较老的病毒样本

这个病毒是一个 DLL 病毒，是该组织常用的白加黑手法进行免杀
该病毒首先打开自己，进行虚拟检测，并且为后续注入做准备：

并且获取大小：

然后创建一个 notepad.exe 进程，为后续的注入做准备：

然后修改自身权限：

接着开始进程注入：

注入后，可以看见跳入的是一段 Shellcode：

接着会替换用户的 IE 浏览器的文件，然后创建一个管程，来传输数据：

样本2：较新的病毒样本

该病毒有虚拟机检测，包括检测 VM 的进程和获取网卡等：

接着该病毒会对系统的 dwm.exe 进行注入，注入自身后流程会发生改变，会创建一个线程，这个线程进行虚拟检测并且创建和目标服务器的管程，并且使用了反汇编技术：

并且这个线程在建立管程之前还会创建三个线程，这三个线程会对管程进行写数据：

可以看到这个病毒打开的管道和上一个病毒的管道名都是一样的

总结

• 对于病毒样本的分析，很多时候是要去多看多上手实践。

• 其实比拼的就是对Windows API的理解，以及有相应的耐心，需要长久的花时间去磨一个病毒样本文件，只要耐心的去看、去磨、去查，慢慢的就自己能看懂了。

• 在二进制的路上，越深入，成就感越大。

我是孤独的全家桶，我在渊龙Sec安全团队等你
微信公众号：渊龙Sec安全团队
欢迎关注我，一起学习，一起进步~
本篇文章为团队成员原创文章，请不要擅自盗取！