Amadey Bot样本分析技术文档<\/h1>

1. 样本基本信息<\/h2>

样本HASH<\/strong>: 449d9e29d49dea9697c9a84bb7cc68b50343014d9e14667875a83cade9adbc60<\/li>
文件类型<\/strong>: 32位exe程序<\/li>

DIE分析<\/strong>: 识别为cab文件（压缩的可执行文件）<\/li> <\/ul>
2. 样本解压内容<\/h2>
解压后获得两个文件：<\/p>

si684017.exe<\/code> - 32位exe程序<\/li>
un007241.exe<\/code><\/li> <\/ol> 3. si684017.exe分析<\/h2> 3.1 基础特征<\/h3> .data<\/code>节的rawsize和virtualsize大小不一致<\/li> 导入函数包含文件操作、内存分配等函数<\/li> 推测为加载器<\/li> <\/ul> 3.2 反分析技术<\/h3> 包含大量垃圾代码用于干扰分析<\/li> 使用API Hashing技术隐藏真实调用的API<\/li> <\/ul> 3.3 内存操作流程<\/h3> 首次内存分配使用GlobalAlloc<\/code><\/li> 调用VirtualProtect<\/code>给予0x40权限（读写执行）<\/li> 使用函数4032e0<\/code>计算并填充分配的空间（每次填充8字节）<\/li> <\/ol> 3.4 动态加载技术<\/h3> 调用LoadLibrary<\/code>加载msimg32.dll<\/code><\/li> 通过call<\/code>跳转到分配的内存空间执行解密代码<\/li> <\/ol> 4. API Hashing实现<\/h2> 4.1 获取函数地址流程<\/h3> 获取PEB地址，通过PEB获取kernel32.dll基址<\/li> 根据基址获取函数名称表<\/li> 自定义hash算法（示例）： LoadLibraryA<\/code>的hash: D5786<\/li> GetProcAddress<\/code>的hash: 348BFA<\/li> <\/ul> <\/li> <\/ol> 4.2 关键函数获取<\/h3> 通过上述方法获取以下函数地址：<\/p> GlobalAlloc<\/code><\/li> GetLastError<\/code><\/li> Sleep<\/code><\/li> VirtualAlloc<\/code><\/li> CreateToolhelp32Snapshot<\/code><\/li> Module32First<\/code><\/li> CloseHandle<\/code><\/li> <\/ul> 5. 多阶段加载技术<\/h2> 通过VirtualAlloc<\/code>分配新内存空间<\/li> 将部分内容转存到新内存空间<\/li> 再次获取LoadLibrary<\/code>函数地址<\/li> 获取更多函数地址（未列出具体函数）<\/li> <\/ol> 6. 环境检测<\/h2> 调用GetVersion<\/code>获取版本号<\/li> 若版本低于Windows Vista则返回<\/li> <\/ol> 7. 持久化技术<\/h2> 7.1 文件操作<\/h3> 分配新内存空间并写入可执行文件内容<\/li> 将内容写入si684017.exe<\/code><\/li> 释放内存<\/li> <\/ol> 7.2 注册表操作<\/h3> 获取注册表句柄：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders<\/code><\/li> 设置启动目录（用户登入会检测）<\/li> <\/ol> 7.3 计划任务<\/h3> 解密并执行以下命令：<\/p> schtasks \/Create \/SC MINUTE \/MO 1 \/TN si684017.exe \/TR \"当前进程的绝对路径" \/F <\/code><\/pre> 8. 信息收集<\/h2> 收集以下系统信息：<\/p> 操作系统架构（返回值9表示PROCESSOR_ARCHITECTURE_AMD64）<\/li> 主机名称<\/li> 用户名称<\/li> 主机SID<\/li> 杀软程序名称<\/li> <\/ol> 9. 数据外传<\/h2> 将收集的信息与解密内容拼接，通过特定URL发送，示例格式：<\/p> &id=667007790723&vs=3.70&sd=b50502&os=1&bi=1&ar=1&pc=DESKTOP-534ND1J&un=Malware_10&dm=&av=13&lv=0&og=1 <\/code><\/pre> 10. 反调试技术<\/h2> 10.1 互斥量检测<\/h3> 互斥量值："006700e5a2ab05704bbb0c589b88924d"<\/li> 若已创建互斥量则终止运行<\/li> <\/ul> 10.2 调试绕过点<\/h3> 需要手动修改bl值为1<\/li> 在创建互斥量后修改eax值为b7以外的值<\/li> <\/ol> 11. 解密函数分析<\/h2> 主解密函数：4141f0<\/code>结合4029b0<\/code><\/li> 加密字符串类似base64但实际为自定义加密<\/li> 解密出文件名称示例：oneetx.exe<\/code><\/li> <\/ul> 12. 执行流程<\/h2> 通过ShellExecute<\/code>创建文件oneetx.exe<\/code><\/li> oneetx.exe<\/code>是加载了新恶意内容的程序<\/li> <\/ol> 13. 静态分析发现<\/h2> 包含多条疑似base64编码的数据（实际为自定义加密）<\/li> 包含敏感导入函数：网络连接<\/li> 内存读写<\/li> 文件编辑<\/li> 命令执行<\/li> 注册表修改<\/li> <\/ul> <\/li> <\/ol> 14. 技术总结<\/h2> 该样本展示了以下高级恶意软件技术：<\/p> 多阶段加载机制<\/li> API Hashing技术<\/li> 反调试和反分析技术<\/li> 环境感知能力<\/li> 多种持久化技术<\/li> 系统信息收集<\/li> 数据外传能力<\/li> 自定义加密算法<\/li> <\/ol> 15. 分析建议<\/h2> 重点关注内存分配和权限修改操作<\/li> 监控注册表启动项变更<\/li> 拦截计划任务创建行为<\/li> 分析网络通信模式<\/li> 提取并分析解密后的字符串内容<\/li> <\/ol>