恶意代码分析实战：Lab09-03

1、问题

首先用PEID查看恶意程序的导入表，可以发现，导入表中有四个dll被导入。

再用IDA载入恶意程序，发现导入函数中存在对LoadLibraryA的调用，对其交叉引用，可以发现有两处地方调用了这个函数。

可以发现，LoadLibraryA导入了DLL3.dll以及user32.dll这两个dll。

1、Lab09-03.exe导入了哪些DLL？

kernel32.dll、netapi32.dll、user32.dll、DLL1.dll、DLL2.dll、DLL3.dll

2、DLL1.dll、DLL2.dll、DLL3.dll要求的基地址是多少？

用PEID分别载入三个dll，可以发现他们要求的基地址都是0x10000000。

3、当使用OllDbg调试Lab09-03.exe时，为DLL1.dll、DLL2.dll、DLL3.dll分配的基址是什么？

可以看到DLL1.dll的基地址是0x00390000，DLL2.dll的基地址是0x003A0000，DLL3.dll的基地址为0x00400000。

4、Lab09-03.exe调用DLL1.dll中的一个导入函数时，这个导入函数都做了什么？

在Lab09-03.exe中我们可以看到，main函数调用了DLL1.dll中的DLL1Print这个函数。用IDA载入DLL1.dll，来到DLL1Print这个函数的位置。

可以发现这里有一个函数调用sub_10001038，它一共是有两个参数，第一个参数是一个字符串“DLL 1 mystery data %d\n”。可以认为sub_10001038是一个printf函数。
对第二个参数进行交叉引用，可以发现，在dllmain中对其进行了写的操作，可以发现，dword_10008030所保存的就是GetCurrentProcessId的返回值，说明它所保存的就是当前进程的id值。那么也就知道了，DLL1Print函数的功能就是打印出当前进程的id值。

5、当Lab09-03.exe使用WriteFile函数时，它写入的文件名是什么？

ecx的值是由hObject决定的，而hObject是DLL2ReturnJ的返回值，那么我们这里就应当分析一下DLL2.dll这个文件。

用IDA载入DLL2.dll。找到DLL2ReturnJ这个函数，可以看到，这个函数仅仅是将dword_1000B078这个参数传递给eax然后返回。对dword_1000B078进行交叉引用。

可以发现，函数调用了CreateFileA，返回值赋给了dword_1000B078。这样我们就知道了，WriteFile的写入对象，其实就是temp.exe。

6、当Lab09-03.exe使用NetScheduleJobAdd创建一个job时，从哪里获取第二个参数的数据？

NetScheduleJobAdd这个函数的作用就在于制定一个工作任务，并且在未来的一个特定的时间来执行。这个函数的第二个参数Buffer，是一个指向AT_INFO结构的指针，该结构用于描述我们所提交的任务。程序首先调用了LoadLibrary来加载DLL3.dll，接着利用GetProcAddress获取了DLL3Print以及DLL3GetStructure这两个函数的地址。

可以看到，DLL3所打印的神秘数据是WideCharStr的内容，通过交叉引用可以发现，这个变量在DllMain中出现过。

可以发现，这里调用了MultiByteToWideChar，这个函数用于将多字节转换成宽字符的形式。在这里，它会将lpWideCharStr参数的内容进行转换，保存在WideCharStr中。而lpWideCharStr中的内容就是“ping www.malwareanalysisbook.com”这段字符串在内存中的地址。DLL3的神秘数据就是该字符串在内存中的地址。
我们知道，NetScheduleJobAdd的第二个参数是一个AT_INFO结构，那么其实dword_1000B0A0中的内容就是一个结构体。为了显示出这个结构体，我们可以来到Structures窗口按下键盘上的Insert键，选择“添加标准的结构体”，添加AT_INFO结构。然后来到dword_1000B0A0在内存中的位置，选择菜单中的Edit下面的Struct Var，单击AT_INFO，就转换成功了：