-
-
[原创]Virus Analysis_2
-
发表于:
2012-9-4 11:28
7664
-
这是我在看雪论坛发表的第二份关于Virus的文件,.初学者,那里分析的不对.还希望大家多多指教
也同时希望能记录下我学习的里程.
IDB文件和样本我都会在附件里面上传 请大家务必在虚拟机运行.
直接来到004015D0 F2下断 F9跑起来
004015D0 . 6A FF push -1
004015D2 . 68 31AD4100 push wiresion.0041AD31 ; SE 处理程序安装
004015D7 . 64:A1 0000000>mov eax,dword ptr fs:[0] ; 指向下一个seh的指针
004015DD . 50 push eax ; seh指针压入堆栈
004015DE . 64:8925 00000>mov dword ptr fs:[0],esp
004015E5 . 81EC DC010000 sub esp,1DC
关键函数如下:
004011B0 //operate_FileNumber.txt
00413319 //Splice_Filename
00401D30 //Delete_File
00401AF5 //ShellExecuteA
00401C20 //CreateFilA 写文件等
00401B06 //获取文件名 格式为: 第几个 文件名 文件大小
004012D0 //Decryption function
"C:\Documents and Settings\Administrator\Local Settings\Temp\$filenumber.txt"
$filenumbr.txt的内容如下
00A286A0---00A2875D
Size 0xBE
DNJKAXECJSCUGIBQIOABJFJTCEAUFUIVGGJBJJITDPHNBEHNDPJFGVGFJVDQEJBXDPESGYBNJOGXFLFHBEBPJDJUGEIMGRGHBFHLAIJBEXESIYAJJJBRBREQBSENJTCGALDAJDHJFOBFFBEQHUIKIQBQHVJABICLEZFLBPERGADGFEASJEFVGJGVIZIHCT
解密之后格式如下:
1 baidu.exe 218112
2 n9158.exe 217600
3 10001.exe 61440
4 6003.exe
5 10.exe 348160
下面是IDB和样本,感兴趣的朋友可以再玩玩.最近学习汇编,求基友 求交流.有木有啊
解压密码:Virus_2
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!