Perché ottengo così tanti ADD [EAX], assemblaggio AL nell'output di malfunzionamento nella volatilità? (Memory Forensics)

0

Ho un dump della memoria e contiene del malware

e quando uso il comando male, quasi tutti i processi che mostra hanno un LOT di ADD [EAX], comandi di assemblaggio AL, so x86 ma non capisco perché un processo ha così tanti aggiunge come questo, e presumo che AL sia un registro, ma ancora non capisco il significato di questo

questa è una bandiera rossa?

ecco uno di questi:

Process: conhost.exe Pid: 1800 Address: 0x540000
Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE
Flags: CommitCharge: 1, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00540000  e9 ec 01 26 75 00 00 00 00 00 00 00 00 00 00 00   ...&u...........
0x00540010  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00540020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00540030  00 00 8b ff 55 8b ec e9 48 3b e2 75 00 00 00 00   ....U...H;.u....

0x00540000 e9ec012675       JMP 0x757a01f1
0x00540005 0000             ADD [EAX], AL
0x00540007 0000             ADD [EAX], AL
0x00540009 0000             ADD [EAX], AL
0x0054000b 0000             ADD [EAX], AL
0x0054000d 0000             ADD [EAX], AL
0x0054000f 0000             ADD [EAX], AL
0x00540011 0000             ADD [EAX], AL
0x00540013 0000             ADD [EAX], AL
0x00540015 0000             ADD [EAX], AL
0x00540017 0000             ADD [EAX], AL
0x00540019 0000             ADD [EAX], AL
0x0054001b 0000             ADD [EAX], AL
0x0054001d 0000             ADD [EAX], AL
0x0054001f 0000             ADD [EAX], AL
0x00540021 0000             ADD [EAX], AL
0x00540023 0000             ADD [EAX], AL
0x00540025 0000             ADD [EAX], AL
0x00540027 0000             ADD [EAX], AL
0x00540029 0000             ADD [EAX], AL
0x0054002b 0000             ADD [EAX], AL
0x0054002d 0000             ADD [EAX], AL
0x0054002f 0000             ADD [EAX], AL
0x00540031 008bff558bec     ADD [EBX-0x1374aa01], CL
0x00540037 e9483be275       JMP 0x76363b84
0x0054003c 0000             ADD [EAX], AL
0x0054003e 0000             ADD [EAX], AL

anche qual è l'indirizzo JMP? è all'interno dello spazio di memoria del processo e indica un'istruzione?

come posso esaminare quell'indirizzo?

    
posta OneAndOnly 19.12.2018 - 14:15
fonte

0 risposte

Leggi altre domande sui tag