首页
社区
课程
招聘
[原创]Virus Analysis_2
发表于: 2012-9-4 11:28 7652

[原创]Virus Analysis_2

2012-9-4 11:28
7652

这是我在看雪论坛发表的第二份关于Virus的文件,.初学者,那里分析的不对.还希望大家多多指教
也同时希望能记录下我学习的里程.
IDB文件和样本我都会在附件里面上传 请大家务必在虚拟机运行.

直接来到004015D0 F2下断 F9跑起来
004015D0   .  6A FF         push -1
004015D2   .  68 31AD4100   push wiresion.0041AD31                   ;  SE 处理程序安装
004015D7   .  64:A1 0000000>mov eax,dword ptr fs:[0]                 ;  指向下一个seh的指针
004015DD   .  50            push eax                                 ;  seh指针压入堆栈
004015DE   .  64:8925 00000>mov dword ptr fs:[0],esp
004015E5   .  81EC DC010000 sub esp,1DC

关键函数如下:
004011B0    //operate_FileNumber.txt
00413319    //Splice_Filename
00401D30   //Delete_File
00401AF5    //ShellExecuteA
00401C20   //CreateFilA 写文件等
00401B06    //获取文件名 格式为: 第几个 文件名 文件大小
004012D0   //Decryption  function

"C:\Documents and Settings\Administrator\Local Settings\Temp\$filenumber.txt"
$filenumbr.txt的内容如下

00A286A0---00A2875D
Size 0xBE

DNJKAXECJSCUGIBQIOABJFJTCEAUFUIVGGJBJJITDPHNBEHNDPJFGVGFJVDQEJBXDPESGYBNJOGXFLFHBEBPJDJUGEIMGRGHBFHLAIJBEXESIYAJJJBRBREQBSENJTCGALDAJDHJFOBFFBEQHUIKIQBQHVJABICLEZFLBPERGADGFEASJEFVGJGVIZIHCT

解密之后格式如下:
1 baidu.exe 218112
2 n9158.exe 217600
3 10001.exe 61440
4 6003.exe   
5 10.exe 348160

下面是IDB和样本,感兴趣的朋友可以再玩玩.最近学习汇编,求基友 求交流.有木有啊
解压密码:Virus_2


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (2)
雪    币: 362
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
顶!!!!!!!!!!!!!!!!!!!
2012-9-4 12:39
0
雪    币: 48
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这个要顶,是好东西,谢谢楼主
2012-10-8 09:09
0
游客
登录 | 注册 方可回帖
返回
//