roundup

原文来自 SecIN社区 —作者：寅儿 0x01 开源情报收集 样本下载链接： https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/ 常用平台:VT，微步，哈勃 app.any.run, joesandbox 图一：VT检测 木马实锤 沙箱跑一下看一下行为： 图二：沙箱行为分析 可以看到用GET请求访问C&C服务器下载了一个二进制binary文件。 点开binary文件查看详情： 图三：恶意binary dump下来wireshark数据包，过滤http请求同样可以发现该二进制文件 图四：抓包分析 查询C&C服务器ip： 图五：ip检测 现在对该恶意软件已经有了初步了了解，下面进行数据包分析，看看能不能找到有用的信息。最直观的看到就是使用了非常见的端口连接，还有发现一个有趣的现象： 图六：数据包分析 竟然是肉鸡主动连接的C&C服务器，让我联想到了CS马。这种手法类似于反弹shell，好处就是可以绕过防火墙限制，如果对方是内网ip，你无法直接发起连接请求，方便持久化控制等等。 0x02 样本基本信息 用exeinfo查壳，标准的32位VC编译的程序 图七：样本信息 用Process Monitor监控行为 图八：软件行为 具体每一项的图略了，大概看了一下读取了注册表的某些键值，设置了某些键值对的值

虚拟内存地址空间 　　Linux内核属于微内核的范畴，内核控制计算机的硬件资源，运行在特权模式；用户态应用程序运行在普通用户模式，无法直接访问硬件资源，必须依托于内核提供的资源，如CPU资源、Memory资源、I/O资源等。 　　Linux采用沙箱机制，每一个进程运行在独立的虚拟地址空间，最大限度避免单个进程异常导致整个系统崩溃。 　　每一个进程的虚拟地址空间分为内核虚拟地址空间和用户虚拟地址空间两部分，内核虚拟地址空间为内核态代码和内核堆栈，所有进程的内核虚拟地址空间是复用的；用户虚拟地址空间则是各进程的代码段、数据段、BSS段、mmap段（动态加载库以及各库运行数据段、运行栈等）、堆、栈、环境变量等信息。 　　Linux中可以通过cat /proc/<pid>/maps命令查看指定进程的用户虚拟地址空间的映射，也可以通过pmap -x <pid>查看，该命令实质上是基于/proc/<pid>/maps实现的。 ARM32 用户虚拟地址空间范围：0x0000 0000 ~ 0xbfff ffff 内核虚拟地址空间范围：0xc000 0000 ~ 0xffff ffff ARM64 　　ARMv7架构（32位CPU）早期CPU采用32位物理地址空间，支持最大物理内存为4GB。但是随着内存容量和软件的扩张，4GB物理内存寻址范围已经不够用了，所以引入了LPAE(Large

查找函数 VLOOKUP函数（列查找），如果是模糊查询，那么被查询的列数据必须是升序排列。而如果是精确查询，那么被查询的数据可以是无序的。 0(精确匹配) HLOOKUP函数（行查找），四个参数与VLOOKUP函数相同。 VLOOKUP函数可以进行嵌套使用。 MATCH函数第一个参数是查询的值，第二个参数是查询的区域，只能是一行或者是一列。第三个参数是返回的值的类型。（精确）。这个函数是可以返回所查询值在查询区域的相对位置。 INDEX函数，返回指定位置的内容。第一个参数是查询区域。第二个函数是查询值所在的行，第三个参数是查询值所在的列。 INDEX函数与MATCH函数的嵌套可以向左查询数据。而不是VLOOKUP函数只能向右查询函数。 MATCH函数返回查询值所在的行号，而INDEX函数通过对应的查询值对应的行号查找到相应的数据。 LOOKUP函数有两种查询方式，一种是向量查询，另一种是数组查询。前者是在一列或者一行中进行查询。这种井底方式的查询区域必须要升序排列。否则容易出错。 而在数组查询中，数组区域内，在区域的首列中查找，而返回区域的最后一列。前提是选择查找区域的行数要大于等于列数。 CHOOSE函数，根据序号从列表中选择对应的内容。 统计函数 count函数计算参数中包含数字（数值型，不包含文本型）的个数 counta函数计算参数中包含非空值的个数