[原创]感染型木马的分析与恢复 - “艾丽莎”-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]感染型木马的分析与恢复 - “艾丽莎”

发表于: 2011-4-20 21:06 18315

[原创]感染型木马的分析与恢复 - “艾丽莎”

雪之苏

2011-4-20 21:06

18315

标题: 【原创】【申精】感染型木马的分析与恢复 - “艾丽莎”
作者: 雪之苏
时间: 2011-04-20,18:27:09
链接: http://bbs.pediy.com/newthread.php?do=newthread&f=4

写在前面的话:
上次那个鬼影驱动，本来是准备分析的，可是不知道是我虚拟机环境有问题还是什么，死活感染不了MBR，过了几个反调后，就没继续分析，今天是写的一个东西，发上来
病毒全名：Virus.Win32.Alisa.a
捕获时间：2007-9-27
算比较老的病毒了

病毒感染说明:
病毒感染文件后，会修改入口前十个字节，修改成自己的代码，然后在最后一个节加上0x1000大小的代码段，将自身复制到里面，而且还会多重感染

1、病毒首先把自身代码解密出来

004049AE    0F31            rdtsc                                ; 取时间戳
004049B0    8985 9E000000   mov     dword ptr [ebp+9E], eax
004049B6    8995 A2000000   mov     dword ptr [ebp+A2], edx
004049BC    8B8D BB000000   mov     ecx, dword ptr [ebp+BB]      ; 原始的解密KEY
004049C2    8BC1            mov     eax, ecx
004049C4    F7E1            mul     ecx
004049C6    8BD0            mov     edx, eax
004049C8    F7D2            not     edx
004049CA    3195 BF000000   xor     dword ptr [ebp+BF], edx
004049D0    F7D2            not     edx
004049D2    8D9D C3000000   lea     ebx, dword ptr [ebp+C3]
004049D8    B9 70030000     mov     ecx, 370
004049DD    8DB5 92000000   lea     esi, dword ptr [ebp+92]
004049E3    8DBD 96000000   lea     edi, dword ptr [ebp+96]
004049E9    FF33            push    dword ptr [ebx]              ; 保存第二次解密的用的KEY
004049EB    52              push    edx
004049EC    0F31            rdtsc                                ; 想减得到运行时间，用来检测单步
004049EE    8985 A6000000   mov     dword ptr [ebp+A6], eax
004049F4    8995 AA000000   mov     dword ptr [ebp+AA], edx
004049FA    5A              pop     edx
004049FB    2B85 9E000000   sub     eax, dword ptr [ebp+9E]
00404A01    7D 02           jge     short 00404A05
00404A03    F7D8            neg     eax
00404A05    C1F8 19         sar     eax, 19
00404A08    F7D0            not     eax
00404A0A    33D0            xor     edx, eax
00404A0C    3113            xor     dword ptr [ebx], edx         ; 解密
00404A0E    5A              pop     edx                          ; 取出第二次解密用的KEY
00404A0F    60              pushad
00404A10    8DB5 A6000000   lea     esi, dword ptr [ebp+A6]
00404A16    8DBD 9E000000   lea     edi, dword ptr [ebp+9E]
00404A1C    6A 08           push    8
00404A1E    59              pop     ecx
00404A1F    FC              cld
00404A20    F3:A4           rep     movs byte ptr es:[edi], byte>
00404A22    61              popad
00404A23    8D85 9A000000   lea     eax, dword ptr [ebp+9A]
00404A29    DB06            fild    dword ptr [esi]
00404A2B    DB07            fild    dword ptr [edi]
00404A2D    DEC1            faddp   st(1), st
00404A2F    DB18            fistp   dword ptr [eax]
00404A31    0318            add     ebx, dword ptr [eax]
00404A33  ^ E2 B4           loopd   short 004049E9               ; 循环解密

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

上传的附件：

kill.zip （1.08MB，184次下载）

收藏・19

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-5-31 06:44

伟叔叔

为你点赞~

2024-4-1 00:26

心游尘世外

为你点赞~

2024-2-12 00:28

飘零丶

为你点赞~

2024-2-3 00:10

QinBeast

为你点赞~

2024-1-24 04:48

shinratensei

为你点赞~

2024-1-20 00:21

PLEBFE

为你点赞~

2023-3-9 05:29

最新回复 (22)

骨灰菜虫

雪币： 211

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

骨灰菜虫: 2 楼

谢谢分享。偶拿了一次。。

2011-4-21 02:25

kanxue

雪币： 56023

活跃值： (21340)

能力值：

(RANK：350 )

在线值：

发帖

2377

回帖

17057

粉丝

567

关注

私信

kanxue 8: 3 楼

感谢分享~
对于病毒/木马分析类的文章，很希望看到这样的文章结构：
1.病毒/木马的描述
2.病毒/木马逆向分析，如感染机制、破坏机制等
3.再给出解决方法，如病毒/木马的清除等
4.如果可能，写个专杀工具，最好带源码。

2011-4-21 10:53

郑州小宝

雪币： 9

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

郑州小宝: 4 楼

受益匪浅啊。

2011-4-21 12:38

代码疯子

雪币： 270

活跃值： (97)

能力值：

( LV8，RANK：140 )

在线值：

发帖

回帖

423

粉丝

关注

私信

代码疯子 3: 5 楼

谢谢分享。这个病毒的破坏思路都很平常，呵呵

2011-4-21 12:44

天涯一鸿

雪币： 1040

活跃值： (1463)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

440

粉丝

关注

私信

天涯一鸿: 6 楼

………………

2011-4-21 12:54

天涯一鸿

雪币： 1040

活跃值： (1463)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

440

粉丝

关注

私信

天涯一鸿: 7 楼

鬼影那里……虚拟机硬盘设置不能是sata……必须是ide

2011-4-21 12:55

langyashan

雪币： 404

活跃值： (111)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

langyashan: 8 楼

楼主源码给力呀，佩服
学习

2011-4-21 12:59

邓韬

雪币： 278

活跃值： (709)

能力值：

( LV15，RANK：520 )

在线值：

发帖

265

回帖

1670

粉丝

关注

私信

邓韬 9: 9 楼

你朋友不老实啊，毕设要别人帮。。。。

2011-4-21 13:34

forgives

雪币： 195

活跃值： (14)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

forgives: 10 楼

怎么又是个毕设写病毒的？

2011-4-21 14:37

雪yaojun

雪币： 120

活跃值： (160)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

593

粉丝

关注

私信

雪yaojun: 11 楼

病毒学校？？？？折磨病毒的？？

2011-4-21 15:24

熊猫正正

雪币： 2562

活跃值： (4283)

能力值：

( LV13，RANK：540 )

在线值：

发帖

138

回帖

898

粉丝

187

关注

私信

熊猫正正 9: 12 楼

不错，不错~~嘿嘿~~

2011-4-21 20:42

曹无咎

雪币： 136

活跃值： (1615)

能力值：

( LV6，RANK：80 )

在线值：

发帖

回帖

480

粉丝

关注

私信

曹无咎 1: 13 楼

学习分析完，写出对应的清除代码才是高手，学习

2011-4-21 21:29

热火朝天

雪币： 210

活跃值： (20)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

172

粉丝

关注

私信

热火朝天: 14 楼

水平不够，不太看得懂

2011-4-22 01:15

wuzhongren

雪币： 32

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

wuzhongren: 15 楼

向楼主学习，多谢分享

2011-4-22 02:13

ncsi

雪币： 116

活跃值： (411)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

ncsi: 16 楼

回头我也调试看看

2011-4-22 10:51

lmhmylsq

雪币： 210

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

lmhmylsq: 17 楼

太强了！感谢分享！

2011-4-23 16:15

tintion

雪币： 203

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

tintion: 18 楼

测试鬼影的时候，把虚拟机硬盘接口调成IDE，在配置文件上加上
monitor_control.disable_directexec = "TRUE"
isolation.tools.getVersion.disable = "TRUE"
这两句话就可以感染MBR了！

2011-4-25 10:21

runker

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

runker: 19 楼

好吧，学习ing

2011-4-26 05:06

panti

雪币： 1602

活跃值： (14)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

254

粉丝

关注

私信

panti: 20 楼

很神奇，贴些代码观赏

//获取节点个数
    _asm
    {
        PUSHAD
        MOV EAX,PeAddr
        ADD EAX,0x6
        MOV EDX,0x0
        MOV DX,WORD PTR [EAX]
        MOV jienum,EDX
        POPAD   
    }

lastjie  =  (int)PeAddr + 0xF8 + (jienum -1)*0x28;                                          //获取最后一个节偏移
    lastjieV =  *(int*)(lastjie + 0xc) + *(int*)((int)PeAddr +0x34);                            //虚拟偏移
    lastjieF =  *(int*)(lastjie + 0x14) + (int)p;                                               //文件偏移

//向前遍历寻找第一个感染节
    for(int i = 0;i<10000;i++)
    {
        relvur -= 0x1000;
        if( *(int*)relvur != 0xE8)
        {
            //就是第一个节
            relvur += 0x1000;
            i = 10001;
        }
    }

//恢复真正入口点
    *(int*)(relentry + 0x0) = *(int*)(relvur + 0xB2A + 0x0);
    *(int*)(relentry + 0x4) = *(int*)(relvur + 0xB2A + 0x4);
    *(int*)(relentry + 0x8) = *(int*)(relvur + 0xB2A + 0x8);
    *(int*)(relentry + 0xc) = *(int*)(relvur + 0xB2A + 0xc);

为什么不是EXE？