[原创]感染型木马的分析与恢复 - “艾丽莎”-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]感染型木马的分析与恢复 - “艾丽莎”

发表于: 2011-4-20 21:06 18154

[原创]感染型木马的分析与恢复 - “艾丽莎”

雪之苏

2011-4-20 21:06

18154

标题: 【原创】【申精】感染型木马的分析与恢复 - “艾丽莎”
作者: 雪之苏
时间: 2011-04-20,18:27:09
链接: http://bbs.pediy.com/newthread.php?do=newthread&f=4

写在前面的话:
上次那个鬼影驱动，本来是准备分析的，可是不知道是我虚拟机环境有问题还是什么，死活感染不了MBR，过了几个反调后，就没继续分析，今天是写的一个东西，发上来
病毒全名：Virus.Win32.Alisa.a
捕获时间：2007-9-27
算比较老的病毒了

病毒感染说明:
病毒感染文件后，会修改入口前十个字节，修改成自己的代码，然后在最后一个节加上0x1000大小的代码段，将自身复制到里面，而且还会多重感染

1、病毒首先把自身代码解密出来


004049AE    0F31            rdtsc                                ; 取时间戳
004049B0    8985 9E000000   mov     dword ptr [ebp+9E], eax
004049B6    8995 A2000000   mov     dword ptr [ebp+A2], edx
004049BC    8B8D BB000000   mov     ecx, dword ptr [ebp+BB]      ; 原始的解密KEY
004049C2    8BC1            mov     eax, ecx
004049C4    F7E1            mul     ecx
004049C6    8BD0            mov     edx, eax
004049C8    F7D2            not     edx
004049CA    3195 BF000000   xor     dword ptr [ebp+BF], edx
004049D0    F7D2            not     edx
004049D2    8D9D C3000000   lea     ebx, dword ptr [ebp+C3]
004049D8    B9 70030000     mov     ecx, 370
004049DD    8DB5 92000000   lea     esi, dword ptr [ebp+92]
004049E3    8DBD 96000000   lea     edi, dword ptr [ebp+96]
004049E9    FF33            push    dword ptr [ebx]              ; 保存第二次解密的用的KEY
004049EB    52              push    edx
004049EC    0F31            rdtsc                                ; 想减得到运行时间，用来检测单步
004049EE    8985 A6000000   mov     dword ptr [ebp+A6], eax
004049F4    8995 AA000000   mov     dword ptr [ebp+AA], edx
004049FA    5A              pop     edx
004049FB    2B85 9E000000   sub     eax, dword ptr [ebp+9E]
00404A01    7D 02           jge     short 00404A05
00404A03    F7D8            neg     eax
00404A05    C1F8 19         sar     eax, 19
00404A08    F7D0            not     eax
00404A0A    33D0            xor     edx, eax
00404A0C    3113            xor     dword ptr [ebx], edx         ; 解密
00404A0E    5A              pop     edx                          ; 取出第二次解密用的KEY
00404A0F    60              pushad
00404A10    8DB5 A6000000   lea     esi, dword ptr [ebp+A6]
00404A16    8DBD 9E000000   lea     edi, dword ptr [ebp+9E]
00404A1C    6A 08           push    8
00404A1E    59              pop     ecx
00404A1F    FC              cld
00404A20    F3:A4           rep     movs byte ptr es:[edi], byte>
00404A22    61              popad
00404A23    8D85 9A000000   lea     eax, dword ptr [ebp+9A]
00404A29    DB06            fild    dword ptr [esi]
00404A2B    DB07            fild    dword ptr [edi]
00404A2D    DEC1            faddp   st(1), st
00404A2F    DB18            fistp   dword ptr [eax]
00404A31    0318            add     ebx, dword ptr [eax]
00404A33  ^ E2 B4           loopd   short 004049E9               ; 循环解密

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

kill.zip （1.08MB，183次下载）

收藏・19

免费・7

支持

最新回复 (22)
骨灰菜虫雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	骨灰菜虫 2 楼谢谢分享。偶拿了一次。。 2011-4-21 02:25 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 3 楼感谢分享~ 对于病毒/木马分析类的文章，很希望看到这样的文章结构： 1.病毒/木马的描述 2.病毒/木马逆向分析，如感染机制、破坏机制等 3.再给出解决方法，如病毒/木马的清除等 4.如果可能，写个专杀工具，最好带源码。 2011-4-21 10:53 0
郑州小宝雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	郑州小宝 4 楼受益匪浅啊。 2011-4-21 12:38 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 5 楼谢谢分享。这个病毒的破坏思路都很平常，呵呵 2011-4-21 12:44 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 6 楼 ……………… 2011-4-21 12:54 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 7 楼鬼影那里……虚拟机硬盘设置不能是sata……必须是ide 2011-4-21 12:55 0
langyashan 雪币： 99 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 88 粉丝 0 关注私信	langyashan 8 楼楼主源码给力呀，佩服学习 2011-4-21 12:59 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼你朋友不老实啊，毕设要别人帮。。。。 2011-4-21 13:34 0
forgives 雪币： 195 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 0 关注私信	forgives 10 楼怎么又是个毕设写病毒的？ 2011-4-21 14:37 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 11 楼病毒学校？？？？折磨病毒的？？ 2011-4-21 15:24 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 12 楼不错，不错~~嘿嘿~~ 2011-4-21 20:42 0
曹无咎雪币： 136 活跃值： (1465) 能力值： ( LV6，RANK：80 ) 在线值：发帖 30 回帖 478 粉丝 1 关注私信	曹无咎 1 13 楼学习分析完，写出对应的清除代码才是高手，学习 2011-4-21 21:29 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 14 楼水平不够，不太看得懂 2011-4-22 01:15 0
wuzhongren 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	wuzhongren 15 楼向楼主学习，多谢分享 2011-4-22 02:13 0
ncsi 雪币： 116 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 16 楼回头我也调试看看 2011-4-22 10:51 0
lmhmylsq 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	lmhmylsq 17 楼太强了！感谢分享！ 2011-4-23 16:15 0
tintion 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tintion 18 楼测试鬼影的时候，把虚拟机硬盘接口调成IDE，在配置文件上加上 monitor_control.disable_directexec = "TRUE" isolation.tools.getVersion.disable = "TRUE" 这两句话就可以感染MBR了！ 2011-4-25 10:21 0
runker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	runker 19 楼好吧，学习ing 2011-4-26 05:06 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 20 楼很神奇，贴些代码观赏 //获取节点个数 _asm { PUSHAD MOV EAX,PeAddr ADD EAX,0x6 MOV EDX,0x0 MOV DX,WORD PTR [EAX] MOV jienum,EDX POPAD } lastjie = (int)PeAddr + 0xF8 + (jienum -1)0x28; //获取最后一个节偏移 lastjieV = (int)(lastjie + 0xc) + (int)((int)PeAddr +0x34); //虚拟偏移 lastjieF = (int)(lastjie + 0x14) + (int)p; //文件偏移 //向前遍历寻找第一个感染节 for(int i = 0;i<10000;i++) { relvur -= 0x1000; if( (int)relvur != 0xE8) { //就是第一个节 relvur += 0x1000; i = 10001; } } //恢复真正入口点 (int)(relentry + 0x0) = (int)(relvur + 0xB2A + 0x0); (int)(relentry + 0x4) = (int)(relvur + 0xB2A + 0x4); (int)(relentry + 0x8) = (int)(relvur + 0xB2A + 0x8); (int)(relentry + 0xc) = (int*)(relvur + 0xB2A + 0xc); 为什么不是EXE？ 2011-4-26 09:00 0
jsaihz 雪币： 292 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	jsaihz 21 楼学习，谢谢楼主分享 2011-4-26 10:58 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 22 楼恩获益匪浅 2011-4-27 01:34 0
gumuliu 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	gumuliu 23 楼学习鸟 2011-4-29 12:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

雪之苏

发帖

118

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
骨灰菜虫雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	骨灰菜虫 2 楼谢谢分享。偶拿了一次。。 2011-4-21 02:25 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 3 楼感谢分享~ 对于病毒/木马分析类的文章，很希望看到这样的文章结构： 1.病毒/木马的描述 2.病毒/木马逆向分析，如感染机制、破坏机制等 3.再给出解决方法，如病毒/木马的清除等 4.如果可能，写个专杀工具，最好带源码。 2011-4-21 10:53 0
郑州小宝雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	郑州小宝 4 楼受益匪浅啊。 2011-4-21 12:38 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 5 楼谢谢分享。这个病毒的破坏思路都很平常，呵呵 2011-4-21 12:44 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 6 楼 ……………… 2011-4-21 12:54 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 7 楼鬼影那里……虚拟机硬盘设置不能是sata……必须是ide 2011-4-21 12:55 0
langyashan 雪币： 99 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 88 粉丝 0 关注私信	langyashan 8 楼楼主源码给力呀，佩服学习 2011-4-21 12:59 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼你朋友不老实啊，毕设要别人帮。。。。 2011-4-21 13:34 0
forgives 雪币： 195 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 0 关注私信	forgives 10 楼怎么又是个毕设写病毒的？ 2011-4-21 14:37 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 11 楼病毒学校？？？？折磨病毒的？？ 2011-4-21 15:24 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 12 楼不错，不错~~嘿嘿~~ 2011-4-21 20:42 0
曹无咎雪币： 136 活跃值： (1465) 能力值： ( LV6，RANK：80 ) 在线值：发帖 30 回帖 478 粉丝 1 关注私信	曹无咎 1 13 楼学习分析完，写出对应的清除代码才是高手，学习 2011-4-21 21:29 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 14 楼水平不够，不太看得懂 2011-4-22 01:15 0
wuzhongren 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	wuzhongren 15 楼向楼主学习，多谢分享 2011-4-22 02:13 0
ncsi 雪币： 116 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 16 楼回头我也调试看看 2011-4-22 10:51 0
lmhmylsq 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	lmhmylsq 17 楼太强了！感谢分享！ 2011-4-23 16:15 0
tintion 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tintion 18 楼测试鬼影的时候，把虚拟机硬盘接口调成IDE，在配置文件上加上 monitor_control.disable_directexec = "TRUE" isolation.tools.getVersion.disable = "TRUE" 这两句话就可以感染MBR了！ 2011-4-25 10:21 0
runker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	runker 19 楼好吧，学习ing 2011-4-26 05:06 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 20 楼很神奇，贴些代码观赏 //获取节点个数 _asm { PUSHAD MOV EAX,PeAddr ADD EAX,0x6 MOV EDX,0x0 MOV DX,WORD PTR [EAX] MOV jienum,EDX POPAD } lastjie = (int)PeAddr + 0xF8 + (jienum -1)0x28; //获取最后一个节偏移 lastjieV = (int)(lastjie + 0xc) + (int)((int)PeAddr +0x34); //虚拟偏移 lastjieF = (int)(lastjie + 0x14) + (int)p; //文件偏移 //向前遍历寻找第一个感染节 for(int i = 0;i<10000;i++) { relvur -= 0x1000; if( (int)relvur != 0xE8) { //就是第一个节 relvur += 0x1000; i = 10001; } } //恢复真正入口点 (int)(relentry + 0x0) = (int)(relvur + 0xB2A + 0x0); (int)(relentry + 0x4) = (int)(relvur + 0xB2A + 0x4); (int)(relentry + 0x8) = (int)(relvur + 0xB2A + 0x8); (int)(relentry + 0xc) = (int*)(relvur + 0xB2A + 0xc); 为什么不是EXE？ 2011-4-26 09:00 0
jsaihz 雪币： 292 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	jsaihz 21 楼学习，谢谢楼主分享 2011-4-26 10:58 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 22 楼恩获益匪浅 2011-4-27 01:34 0
gumuliu 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	gumuliu 23 楼学习鸟 2011-4-29 12:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复