首页
社区
课程
招聘
E*ET N0D 病毒库结构及工具
发表于: 2011-8-17 17:43 6596

E*ET N0D 病毒库结构及工具

2011-8-17 17:43
6596
最近对 N0D的病毒库做了个简单分析,具体如下:
E*ET em* 文件结构:
| hash | 0d0a0d0a | generic info | file info(version, file name & load offset) | block entry table | blocks|
           |<-------0x11C bytes----->|<------------0x108 bytes--------- ----------->|        

子结构:
Block entry table 的结构:
每个table项大小为36B, table项的结构如下:
    block_name: 4 bytes, CODE, DATA etc.
    block_offset: 4 bytes, relative to 0d0a0d0a
    unknown: 4 bytes
    block size: 4 bytes
    unknown: 4 bytes
    unknown: 4 bytes
    unknown: 4 bytes
    is_block_zipped: 4 bytes
    unknown: 4 bytes

Block:
    如果entry table中is_block_zipped被置为1则表示对应的Block是一个deflate压缩块

升级包中关键文件的说明:
em000_32.dat: loader,由CODE和RELO两个段组成,其中CODE部分为函数数据,会存储到堆上,可以用IDA反汇编查看,入口函数的文件偏移位置记录在0x108大小的那个块上;

em002_32.dat: scanner,由CODE,DATA和RELO三个段组成,包含signature信息。

更多细节可以参考附件内的源代码

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 26
活跃值: (244)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这个很给力啦
2011-8-18 10:27
0
雪    币: 292
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
。。。。我最怕.ph脚本的了,看不懂啊
2011-8-18 21:21
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
4
占位,出租!
2011-8-18 21:54
0
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
楼主v5,顺带广告位招租
2011-8-18 22:35
0
游客
登录 | 注册 方可回帖
返回
//