《恶意代码分析实战》lab11-1分析

Lab11-01分析

前言

• 最近在划水，也在实习。
• 保研投了信工所北理工和北邮…一个都没有过。然后前几天去信工所六室面试，好消息是被六室录取！！！！但是心还没有定下来，大三的迷茫
• 然后平时在读《恶意代码分析实战》这本书，觉得这本书很好，实验也很有意思。

该实验经过分析发现，为演示GINA劫持来窃取用户信息的恶意代码。但是在WINXP之后GINA好像不再使用。

详细分析

Lab11-01.exe

首先释放资源,如图所示:

然后资源导出，为一个DLL。创建一个文件后将该资源写入,为msgina32.dll。从名字上具有欺骗意义，与MSgina.dll很像。如图所示:

然后修改注册表，修改Winlogon里的GinaDLL，增加值为导出的dll，进行GINA拦截。如图所示:

msgina32.dll

首先引入了真正的MSGinadll,并将真正dll所用的函数都进行导出。如图所示：

大部分函数都仅仅是从真正的MSGina里导出原本的该函数进行执行，如图所示:[外链图片转存失败(img-lnbF9Czh-1564131718234)(assets/1564034060424.png)]

在WlxLoggedOutSAS里，除了执行函数原本的功能外，还执行了额外的函数。有字符串操作。如图所示:

跟进后，发现该函数是向文件里写入用户的信息。

由于win7抛弃使用Gina，所以该程序无法进行GINA拦截。

总结

由于win7抛弃使用Gina，所以该程序无法进行GINA拦截。

总结

学习到了GINA拦截技术。对知识存储有一定提升。