首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]一个全盘感染的病毒,求大神分析下
2015-7-24 20:17 5878

[求助]一个全盘感染的病毒,求大神分析下

Snark 活跃值
1
2015-7-24 20:17
5878
最近电脑里不知不觉感染了一个全盘感染的病毒,会对pe文件增加一个区段(rmnet),还有html也感染;病毒的具体危害,小弟不才,没研究出来 ,求大神分析下,附件中是样本和一个被感染的od.exe, 具体情况好像是只要执行了被感染的文件会在当前目录生成一个CreateSrv.exe文件;

[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
打赏
分享
最新回复 (4)
thebutterfly
雪    币: 291
活跃值: (208)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
thebutterfly 5 2015-7-25 05:23
2
0
这个Sample的入口代码很好调试(注意入口代码会启动一个释放出来的exe,建议处理掉)。但过了入口后,有4层壳。第一层和第四层都是UPX。中间的两层不是。最终Sample的代码入口在0x402C5B处。调试的时候可以直接对地址0x402C5B下硬件执行断点。断下后就是Sample真正代码的入口。
Snark
雪    币: 2617
活跃值: (2980)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
Snark 1 2015-7-25 09:34
3
0
感谢了,我晚上研究下,看能不能恢复被感染的文件
shinfly
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
shinfly 2015-7-27 08:27
4
0
兄弟,恢复了吗?
Snark
雪    币: 2617
活跃值: (2980)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
Snark 1 2015-7-27 09:59
5
0
自己能力有限恢复不了,后来是用 赛门铁克 的杀毒软件恢复的
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回