[原创]一招秒杀感染文件中的病毒代码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
neineit 雪币： 397 活跃值： (372) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 2 楼多谢wumingpeng提供的样本，因为没有pps的环境，没测试lz说的修复是否完美。但思路觉对是很简洁可行的。我顺便补充点，这个病毒做的是一个EPO方式感染，修改了宿主6个位置，没太细弄，不确定是否是随机位置感染，6个是为了增大病毒获得执行权的概率。第1处 0040119B /75 05 jnz short 55794952.004011A2 0040119D \|E8 30D20300 call 55794952.0043E3D2 -------->调病毒代码 004011A2 \FF7424 04 push dword ptr ss:[esp+4] 004011A6 E8 9C1B0200 call 55794952.00422D47 第2处 00406D58 83C4 18 add esp,18 00406D5B 56 push esi 00406D5C 8BCF mov ecx,edi 00406D5E E8 79760300 call 55794952.0043E3DC -------->调病毒代码 00406D63 8BCF mov ecx,edi 00406D65 E8 DDFEFFFF call 55794952.00406C47 第3处 0040CBF2 8B4424 30 mov eax,dword ptr ss:[esp+30] 0040CBF6 52 push edx 0040CBF7 E8 EA170300 call 55794952.0043E3E6 -------->调病毒代码 0040CBFC 83C4 04 add esp,4 第4处 004128F5 8975 FC mov dword ptr ss:[ebp-4],esi 004128F8 E8 F3BA0200 call 55794952.0043E3F0 -------->调病毒代码 004128FD 85C0 test eax,eax 第5处 004185BF 55 push ebp 004185C0 E8 355E0200 call 55794952.0043E3FA -------->调病毒代码 004185C5 0FB705 3A2B4300 movzx eax,word ptr ds:[432B3A] 004185CC 0FB70D 342B4300 movzx ecx,word ptr ds:[432B34] 第6处 0041E2CF 8BCE mov ecx,esi 0041E2D1 E8 2E010200 call 55794952.0043E404 -------->调病毒代码 0041E2D6 8B06 mov eax,dword ptr ds:[esi] // 通过那些hook的位置，跳到不同的病毒跳转分支，分别调向宿主的不同位置，相当于一个stub // 但这些分支都调向同一个位置0043E40E 0043E3D2 E8 37000000 call 55794952.0043E40E 0043E3D7 - E9 C3E2FDFF jmp 55794952.0041C69F -- 返回宿主 0043E3DC E8 2D000000 call 55794952.0043E40E 0043E3E1 - E9 D488FCFF jmp 55794952.00406CBA -- 返回宿主 0043E3E6 E8 23000000 call 55794952.0043E40E 0043E3EB - E9 30D2FCFF jmp 55794952.0040B620 -- 返回宿主 0043E3F0 E8 19000000 call 55794952.0043E40E 0043E3F5 - E9 F9ACFDFF jmp 55794952.004190F3 -- 返回宿主 0043E3FA E8 0F000000 call 55794952.0043E40E 0043E3FF - E9 7C9FFDFF jmp 55794952.00418380 -- 返回宿主 0043E404 E8 05000000 call 55794952.0043E40E 0043E409 - E9 FBFCFDFF jmp 55794952.0041E109 -- 返回宿主 // 病毒开始代码 0043E40E 60 pushad --》把这里改成ret ,即可修复。 0043E40F 66:9C pushfw 0043E411 66:9C pushfw 0043E413 E8 04000000 call 55794952.0043E41C 写修复代码关键是找对修复位置，说个我们的修复方式，通配匹配 e8 ???????? e9\|6 60 66 9c \|6 表示反复6次，修复60 为c3 即可。 2011-1-14 16:24 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 3 楼留着僵尸小心隐患~ 2011-1-14 16:30 0
foxjinlin 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 74 粉丝 0 关注私信	foxjinlin 4 楼就修改几个代码啊，病毒数据没除去 2011-1-14 17:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
neineit 雪币： 397 活跃值： (372) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 2 楼多谢wumingpeng提供的样本，因为没有pps的环境，没测试lz说的修复是否完美。但思路觉对是很简洁可行的。我顺便补充点，这个病毒做的是一个EPO方式感染，修改了宿主6个位置，没太细弄，不确定是否是随机位置感染，6个是为了增大病毒获得执行权的概率。第1处 0040119B /75 05 jnz short 55794952.004011A2 0040119D \|E8 30D20300 call 55794952.0043E3D2 -------->调病毒代码 004011A2 \FF7424 04 push dword ptr ss:[esp+4] 004011A6 E8 9C1B0200 call 55794952.00422D47 第2处 00406D58 83C4 18 add esp,18 00406D5B 56 push esi 00406D5C 8BCF mov ecx,edi 00406D5E E8 79760300 call 55794952.0043E3DC -------->调病毒代码 00406D63 8BCF mov ecx,edi 00406D65 E8 DDFEFFFF call 55794952.00406C47 第3处 0040CBF2 8B4424 30 mov eax,dword ptr ss:[esp+30] 0040CBF6 52 push edx 0040CBF7 E8 EA170300 call 55794952.0043E3E6 -------->调病毒代码 0040CBFC 83C4 04 add esp,4 第4处 004128F5 8975 FC mov dword ptr ss:[ebp-4],esi 004128F8 E8 F3BA0200 call 55794952.0043E3F0 -------->调病毒代码 004128FD 85C0 test eax,eax 第5处 004185BF 55 push ebp 004185C0 E8 355E0200 call 55794952.0043E3FA -------->调病毒代码 004185C5 0FB705 3A2B4300 movzx eax,word ptr ds:[432B3A] 004185CC 0FB70D 342B4300 movzx ecx,word ptr ds:[432B34] 第6处 0041E2CF 8BCE mov ecx,esi 0041E2D1 E8 2E010200 call 55794952.0043E404 -------->调病毒代码 0041E2D6 8B06 mov eax,dword ptr ds:[esi] // 通过那些hook的位置，跳到不同的病毒跳转分支，分别调向宿主的不同位置，相当于一个stub // 但这些分支都调向同一个位置0043E40E 0043E3D2 E8 37000000 call 55794952.0043E40E 0043E3D7 - E9 C3E2FDFF jmp 55794952.0041C69F -- 返回宿主 0043E3DC E8 2D000000 call 55794952.0043E40E 0043E3E1 - E9 D488FCFF jmp 55794952.00406CBA -- 返回宿主 0043E3E6 E8 23000000 call 55794952.0043E40E 0043E3EB - E9 30D2FCFF jmp 55794952.0040B620 -- 返回宿主 0043E3F0 E8 19000000 call 55794952.0043E40E 0043E3F5 - E9 F9ACFDFF jmp 55794952.004190F3 -- 返回宿主 0043E3FA E8 0F000000 call 55794952.0043E40E 0043E3FF - E9 7C9FFDFF jmp 55794952.00418380 -- 返回宿主 0043E404 E8 05000000 call 55794952.0043E40E 0043E409 - E9 FBFCFDFF jmp 55794952.0041E109 -- 返回宿主 // 病毒开始代码 0043E40E 60 pushad --》把这里改成ret ,即可修复。 0043E40F 66:9C pushfw 0043E411 66:9C pushfw 0043E413 E8 04000000 call 55794952.0043E41C 写修复代码关键是找对修复位置，说个我们的修复方式，通配匹配 e8 ???????? e9\|6 60 66 9c \|6 表示反复6次，修复60 为c3 即可。 2011-1-14 16:24 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 3 楼留着僵尸小心隐患~ 2011-1-14 16:30 0
foxjinlin 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 74 粉丝 0 关注私信	foxjinlin 4 楼就修改几个代码啊，病毒数据没除去 2011-1-14 17:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复