[原创]病毒分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]病毒分析

发表于: 2012-1-6 15:38 16823

[原创]病毒分析

blueapplez 活跃值

活跃值

14

2012-1-6 15:38

16823

开发机器习惯裸奔, 好久之前逮着一个病毒, 发现的原因是莫名其妙的我的svn上的exe文件都变红了。我就抓到一个样本。分析了一会。可是这病毒真是又臭又长啊实在没精力搞下去了搁置了好久了干脆放出来想搞的继续搞吧。。。
附件是样本和我分析的笔记。有兴趣的拿去分析分析吧分析好了分享分享。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

UUU9病毒分析.doc （451.00kb，515次下载）
病毒.zip （208.46kb，216次下载）

收藏・16

免费・6

支持

分享

最新回复 (17)
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 142 关注私信	熊猫正正 9 2 楼好久没看到你了~~原来躲起来搞病毒分析 2012-1-6 15:56 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 3 楼学习。。。。。。 2012-1-6 16:02 0
CNFlei 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	CNFlei 4 楼虽然看不懂，不过收藏学习 2012-1-6 16:19 0
小龙人雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	小龙人 5 楼功底非同一般............................ 2012-1-6 23:21 0
willapple 雪币： 7161 活跃值： (1175) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	willapple 6 楼向楼主致敬，拿来学习学习！ 2012-1-6 23:33 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 7 楼裸奔的人啊，你冷不冷噢 2012-1-7 17:29 0
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 8 楼裸奔下的病毒，分析价值有限。我分析的都是绕360的病毒 2012-1-8 05:19 0
suredwang 雪币： 380 活跃值： (108) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 134 粉丝 0 关注私信	suredwang 2 9 楼感谢楼主分享！辛苦了！收藏下来慢慢学习了 2012-1-8 09:51 0
CaiHuan 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 148 粉丝 0 关注私信	CaiHuan 10 楼怎么抓到.........求样本.... 2012-1-8 21:21 0
dashige 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	dashige 11 楼到处钻洞，到处翻墙，哪里不和谐你到哪里去，不一会，你就有样本了。 2012-1-9 03:06 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 12 楼这个到好弄，直接切节，然后修复头程序就能跑起来。不过这个shellcode 写的还不错！ 2012-1-9 16:16 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 13 楼 API HASH，拷贝dll到新申请的空间里执行也是很多壳用到的技术~~ 2012-1-10 13:03 0
bitt 雪币： 435 活跃值： (1287) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 14 楼加1 test je可能是为了检测句柄是否是invalid handle 后面再减一恢复句柄值，因为还要用 2012-1-10 14:16 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 15 楼有道理。。。是我没理解作者的意图。这样的代码像是直接汇编写出来的，不像是高级语言编译出来的。 2012-1-10 15:17 0
bitt 雪币： 435 活跃值： (1287) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 16 楼编译器不会这么干的，另外操作fs取teb peb用高级语言没法写内联汇编也很蛋疼况且添加段执行shellcode涉及到定位问题用汇编是唯一办法 2012-1-10 15:48 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 17 楼这种病毒也就只能搞搞裸机了 2012-1-11 13:36 0
漏网的鱼雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	漏网的鱼 18 楼收藏了。。。。。 2012-1-17 21:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

blueapplez

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//