简单的go病毒分析

前言
1、go二进制文件中结构中的函数名信息,并没有被去掉 , 而且可以通过辅助脚本再反汇编工具里将其恢复 。
2、go的函数调用约定跟c++的有些不同,前9个参数分别放入寄存器rax,rbx,rcx,rdi,rsi,r8,r9,r10,r11,其他参数从右往左入栈 。主调函数平衡堆栈,但是只有当主调函数执行完才会去平衡堆栈,而不是被调函数执行完就立即平衡 。
3、字符串实际是个结构体类型,字符串结构体有两个成员 , 分别是字符串地址和长度 。在传递结构体时,每个成员都会当成一个变量传递 。例如要传个字符串 , rax是字符串地址,ebx就是字符串长度 。
起始
某同学收到一封邮件,里面附带伪装成docx文档的病毒 。点击后会打开一个docx文档 。
分析
ida打开可以看到函数名已经给还原了 。
函数主体分析
【简单的go病毒分析】1、从主函数开始看 , 开始有一大片代码获取机器的非环回IP 。
2、获取主机名,拼接字符串,调用函数截屏 。
获取主机名,3 是字符串拼接 。rbx,rcx 是字符串"null",rdi,rsi是_,r8r9是主机名,拼接起来是- 。实际上rbx是放的本地IP地址,由于一开始断网分析的,所以rbx为null 。此处拼接得到文件名-.png 。
3、调用 , 返回值rax被存入局部变量中,后面放入到rbx传入,由于该函数参数需要一个指针,所以返回的是一个指针 。
4、接下来又打开了文件,写入内容,是一个docx文档 。
5、新建 对象,里是执行命令的操作 。执行打开文档的命令 。
内存可以看到结构体有两个成员是有值的,根据查到的结构体,第一个成员是执行路径字符串,路径长度为0x1b , 第二个成员是执行命令的参数构成的数组 , 这的数组长度为3,实际参数为:cmd /c 文档绝对路径 。

简单的go病毒分析

文章插图
里面用第三方库进行截图,然后调用 , 应该是用来保存截图的
此处字符串拼接获得图片的绝对路径 。
里面主要是获取临时文件目录,拼接文件名,调用 。里面是写入文件,关闭文件句柄 。
打开的是截图,里面看到关掉句柄,应该还有写入缓冲区的操作