¿Por qué obtengo tantos ADD [EAX], AL ensamblado en la salida de error en la volatilidad? (Memoria forense)

0

Tengo un volcado de memoria, y tiene algunos programas maliciosos en él

y cuando uso el comando malfind, casi todos los procesos que muestra tienen MUCHOS AGREGOS [EAX], comandos de ensamblaje AL, sé x86 pero no entiendo por qué un proceso tiene tantos agregados como esto, y asumo que AL es un registro, pero aún no entiendo el significado de esto

¿Esto es una bandera roja?

Aquí hay uno de ellos:

Process: conhost.exe Pid: 1800 Address: 0x540000
Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE
Flags: CommitCharge: 1, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00540000  e9 ec 01 26 75 00 00 00 00 00 00 00 00 00 00 00   ...&u...........
0x00540010  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00540020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00540030  00 00 8b ff 55 8b ec e9 48 3b e2 75 00 00 00 00   ....U...H;.u....

0x00540000 e9ec012675       JMP 0x757a01f1
0x00540005 0000             ADD [EAX], AL
0x00540007 0000             ADD [EAX], AL
0x00540009 0000             ADD [EAX], AL
0x0054000b 0000             ADD [EAX], AL
0x0054000d 0000             ADD [EAX], AL
0x0054000f 0000             ADD [EAX], AL
0x00540011 0000             ADD [EAX], AL
0x00540013 0000             ADD [EAX], AL
0x00540015 0000             ADD [EAX], AL
0x00540017 0000             ADD [EAX], AL
0x00540019 0000             ADD [EAX], AL
0x0054001b 0000             ADD [EAX], AL
0x0054001d 0000             ADD [EAX], AL
0x0054001f 0000             ADD [EAX], AL
0x00540021 0000             ADD [EAX], AL
0x00540023 0000             ADD [EAX], AL
0x00540025 0000             ADD [EAX], AL
0x00540027 0000             ADD [EAX], AL
0x00540029 0000             ADD [EAX], AL
0x0054002b 0000             ADD [EAX], AL
0x0054002d 0000             ADD [EAX], AL
0x0054002f 0000             ADD [EAX], AL
0x00540031 008bff558bec     ADD [EBX-0x1374aa01], CL
0x00540037 e9483be275       JMP 0x76363b84
0x0054003c 0000             ADD [EAX], AL
0x0054003e 0000             ADD [EAX], AL

también ¿cuál es esa dirección JMP? ¿Está eso dentro del espacio de memoria del proceso, y apunta a una instrucción?

¿Cómo puedo examinar esa dirección?

    
pregunta OneAndOnly 19.12.2018 - 14:15
fuente

0 respuestas

Lea otras preguntas en las etiquetas