能力值:
( LV2,RANK:10 )
|
-
-
2 楼
0.0
其實他外面有一層˙很像殼層的東西
我還在分析中,有跳到程式外在跳回去不過就跑飛了。
|
能力值:
( LV10,RANK:160 )
|
-
-
3 楼
很好奇那个循环嵌套子程序怎么写出来的。多层无用参数传递。
我DUMP出一个MEM。貌似是UPX了的PE文件。我修复看看
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
剛剛大概分析完全了,他除了創建資料夾外,他還會用windows的檔案系統漏洞建立一個刪除不掉的資料夾。
現在正在看它裡面有甚麼東西,這個病毒跟我上次遇到的很像。
目前的動作就這些,我正在想辦法還原他的程式碼,因為他程式碼有兩段,UPX脫殼後的是第一段
之後會跳到003XXXXX的記憶體,之後再跳回去,這個是第二段。
它的目的只是讓你無法分析出來,所以他也不一定要寫有用的程式碼。
第二段程式碼才是重要的程式碼,第一段的程式碼其實是垃圾。
而且目前是要用他的upx脫殼後的程式去分析,我現在正在研究看看能不能直接用它裡面的那段就好了。
第二段的UPX在00450CD0
總共兩個UPX,再加上一堆垃圾代碼,還有一個不知道從哪讀取的resource,之後就將那些資料寫道003XXXXX,跳到那裏執行,之後就可以createmutexA
大概就這樣。
|
能力值:
( LV10,RANK:160 )
|
-
-
5 楼
啊,确实哈,我也DUMP出来了,自删除。重名名,注入几个主进程,注册表启动~
呵
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
那些我在第一個動作我就看到了,只是我在看說,主要執行那個程式碼的地方,還有,就是能不能拖吊第二層的殼之後還能正常感染
|
|
|
|
