[原创]感染形病毒分析与恢复[3]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

3

7

[原创]感染形病毒分析与恢复[3]

发表于: 2011-5-27 01:15 8899

[原创]感染形病毒分析与恢复[3]

雪之苏

活跃值

2

2011-5-27 01:15

8899

标题: 【原创】感染形病毒分析与恢复【3】
作者: 雪之苏
时间: 2011-05-27,00:51:09
链接: http://bbs.pediy.com/newthread.php?do=newthread&f=4

1.病毒描述
前几天在论坛看到一个求助帖，里面是一个被感染的求助
原帖见
http://bbs.pediy.com/showthread.php?t=134487
描述可以去这个帖子看
于是这2天工作之余，抽了点时间，稍微逆了下，写了个专杀，不过还没弄全，只是写出了
检测和恢复，剩下的等明天去公司在完成

2.逆向分析
下了样本后，看了下，是个感染型，由于重点是恢复被感染的文件，所有传染机制我就没看了，有兴趣的可以自己看下

简要分析:
这个感染形很简单，属于加节感染，然后改了oep指到自己的感染区，解密自身执行代码，执行完，跳回原本oep，我们的目的是恢复，所以我们只要看2个地方就可以了
1.解密部分
2.寻找原本程序oep存放地点，然后恢复oep
有了这个思路后，剩下的就很简单

1.刚上来，病毒就开始解密自己的代码

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

专杀.rar （1.41MB，61次下载）
病毒样本.zip （999.53kb，61次下载）

收藏・3

免费・7

支持

分享

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-5-31 07:08

伟叔叔

为你点赞~

2024-5-14 01:00

心游尘世外

为你点赞~

2024-2-18 00:33

飘零丶

为你点赞~

2024-2-9 00:03

QinBeast

为你点赞~

2024-1-25 04:44

shinratensei

为你点赞~

2024-1-21 00:17

PLEBFE

为你点赞~

2023-3-9 01:09

查看更多

最新回复 (11)
猥琐菜鸟雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 94 粉丝 0 关注私信	猥琐菜鸟 2 楼病毒分析,专杀这块..刚开始学..有用.就顶下你.. 2011-5-27 01:56 0
复杂雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	复杂 3 楼膜拜高手。。。 2011-5-27 08:58 0
exile 雪币： 2105 活跃值： (594) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼膜拜暗黑3 2011-5-27 09:03 0
alexy 雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	alexy 5 楼在识别中可以考虑多加一点特征判断，如 0040B00C 5E pop esi 0040B00D 90 nop 2011-5-27 09:07 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 6 楼学习。。。。 2011-5-27 09:50 0
雪之苏雪币： 232 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 7 楼额忘了说点如果是那种完美的清除还要记得把导入表中 2个函数恢复下因为那2个函数被改到感染区我这么不完美清除倒是不需要 2011-5-27 13:51 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 8 楼谢谢了。。我下来去杀下。全盘的EXE都感染了。汗 2011-5-27 20:11 0
logkiller 雪币： 8843 活跃值： (3926) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 777 粉丝 1 关注私信	logkiller 9 楼膜拜，順便說下，打不開程序，出什麼內存錯誤 2011-5-27 20:26 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 10 楼运行出错。。。。。不知道怎么回事。怎么弄也没发弄。太笨了。怎么使用？ 2011-5-27 22:49 0
aosemp 雪币： 242 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	aosemp 11 楼 "开始代码段第一个字节要么为 nop(0x90) 要么就是push(0x68)" 不一定，我遇見過mov eax, 0xxxxxx的。接下來解密的0x80字節左右裏面有IAT和OEP，不過每個exe偏移不一樣（因爲解密頭長度不固定）。其實恢復IAT才是重點。 2011-5-27 23:21 0
雪之苏雪币： 232 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 12 楼我只能从他提供的4个被感染的中分析所以没有兼顾输入表里面就2个被改了那个恢复也很简单啊搜索下在写进去就是了而且我这种不清节代码的方法不需要恢复iat 2011-5-28 00:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

雪之苏

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区