首页
社区
课程
招聘
[原创]感染形病毒分析与恢复[3]
发表于: 2011-5-27 01:15 8766

[原创]感染形病毒分析与恢复[3]

2011-5-27 01:15
8766

标 题: 【原创】感染形病毒分析与恢复【3】
作 者: 雪之苏
时 间: 2011-05-27,00:51:09
链 接: http://bbs.pediy.com/newthread.php?do=newthread&f=4

1.病毒描述
前几天在论坛看到一个求助帖,里面是一个被感染的求助
原帖见
http://bbs.pediy.com/showthread.php?t=134487
描述可以去这个帖子看
于是这2天工作之余,抽了点时间,稍微逆了下,写了个专杀,不过还没弄全,只是写出了
检测和恢复,剩下的等明天去公司在完成

2.逆向分析
下了样本后,看了下,是个感染型,由于重点是恢复被感染的文件,所有传染机制我就没看了,有兴趣的可以自己看下

简要分析:
这个感染形很简单,属于加节感染,然后改了oep指到自己的感染区,解密自身执行代码,执行完,跳回原本oep,我们的目的是恢复,所以我们只要看2个地方就可以了
1.解密部分
2.寻找原本程序oep存放地点,然后恢复oep
有了这个思路后,剩下的就很简单

1.刚上来,病毒就开始解密自己的代码


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (11)
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
病毒分析,专杀这块..刚开始学..有用.就顶下你..
2011-5-27 01:56
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
膜拜高手。。。
2011-5-27 08:58
0
雪    币: 2105
活跃值: (424)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
膜拜 暗黑3
2011-5-27 09:03
0
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
在识别中可以考虑多加一点特征判断,如
0040B00C    5E              pop     esi
0040B00D    90              nop
2011-5-27 09:07
0
雪    币: 122
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
学习。。。。
2011-5-27 09:50
0
雪    币: 232
活跃值: (105)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
7

忘了说点
如果是那种完美的清除
还要记得 把导入表中 2个函数恢复下
因为那2个函数被改到感染区
我这么不完美清除倒是不需要
2011-5-27 13:51
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
谢谢了。。我下来去杀下。全盘的EXE都感染了。汗
2011-5-27 20:11
0
雪    币: 8159
活跃值: (3321)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
膜拜,順便說下,打不開程序,出什麼內存錯誤
2011-5-27 20:26
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
运行出错。。。。。不知道怎么回事。怎么弄也没发弄。太笨了。怎么使用?
2011-5-27 22:49
0
雪    币: 242
活跃值: (16)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
"开始代码段第一个字节 要么为 nop(0x90) 要么就是push(0x68)"
不一定,我遇見過mov eax, 0xxxxxx的。

接下來解密的0x80字節左右裏面有IAT和OEP,不過每個exe偏移不一樣(因爲解密頭長度不固定)。

其實恢復IAT才是重點。
2011-5-27 23:21
0
雪    币: 232
活跃值: (105)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
12
我只能从他提供的4个被感染的中分析
所以没有兼顾

输入表里面就2个被改了
那个恢复也很简单啊
搜索下
在写进去就是了
而且我这种不清节代码的方法不需要恢复iat
2011-5-28 00:14
0
游客
登录 | 注册 方可回帖
返回
//