标 题: 【原创】感染形病毒分析与恢复【3】 作 者: 雪之苏 时 间: 2011-05-27,00:51:09 链 接: http://bbs.pediy.com/newthread.php?do=newthread&f=4 1.病毒描述 前几天在论坛看到一个求助帖,里面是一个被感染的求助 原帖见 http://bbs.pediy.com/showthread.php?t=134487 描述可以去这个帖子看 于是这2天工作之余,抽了点时间,稍微逆了下,写了个专杀,不过还没弄全,只是写出了 检测和恢复,剩下的等明天去公司在完成 2.逆向分析 下了样本后,看了下,是个感染型,由于重点是恢复被感染的文件,所有传染机制我就没看了,有兴趣的可以自己看下 简要分析: 这个感染形很简单,属于加节感染,然后改了oep指到自己的感染区,解密自身执行代码,执行完,跳回原本oep,我们的目的是恢复,所以我们只要看2个地方就可以了 1.解密部分 2.寻找原本程序oep存放地点,然后恢复oep 有了这个思路后,剩下的就很简单 1.刚上来,病毒就开始解密自己的代码
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课