[原创]对某病毒的一次完全逆向分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]对某病毒的一次完全逆向分析

发表于: 2013-7-2 05:24 120278

[原创]对某病毒的一次完全逆向分析

hackerlzc

2013-7-2 05:24

120278

查看主题内容

收藏・124

免费・5

支持

最新回复 (96) ◀ 1 2 3 4 ▶
nicotine 雪币： 139 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	nicotine 26 楼 mark, 支持下 2013-7-2 19:40 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 27 楼非老鸟，真小白 2013-7-3 12:04 0
冰壶菩提雪币： 1136 活跃值： (752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 1 关注私信	冰壶菩提 28 楼楼主太谦虚了，处理中毒不难，逆向分析很难。对付感染性病毒，想杀得干净：1.重装系统。2.恢复exe程序正常的文件关联。3.如果mbr被篡改，恢复正常mbr。 2013-7-3 20:30 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 29 楼高深。。 2013-7-4 13:53 0
Johvid 雪币： 487 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	Johvid 30 楼 mark一下 2013-7-4 13:57 0
shangrila 雪币： 1585 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 210 粉丝 0 关注私信	shangrila 31 楼精神可嘉！！！`、 2013-7-4 21:17 0
we玖兰雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	we玖兰 32 楼 mark以下~~ 2013-7-5 10:16 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 33 楼好帖必顶。。 2013-7-5 10:29 0
hgfangying 雪币： 166 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	hgfangying 34 楼下载学习，感谢楼主分享：） 2013-7-5 12:13 0
weibeat 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	weibeat 35 楼 mark一下 2013-7-5 14:14 0
凭凡雪币： 62 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 45 回帖 145 粉丝 0 关注私信	凭凡 36 楼写的挺详细的。楼主辛苦了啊 2013-7-5 18:39 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 37 楼 Parite 这个很恐怖，很厉害的感染型的建议用AVP，比较好用，国货就不行了 2013-7-7 10:18 0
强子SeeSnow 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	强子SeeSnow 38 楼感觉像是跟我遇到的一样的，Virus.Win32.Parite.H，我重点是对比文件被感染前后，编写程序将被感染文件进行修复，用这个来做的毕业设计。 2013-7-8 16:47 0
wuzhiwen 雪币： 281 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 39 楼我也要跟着LZ，慢慢分析 2013-7-8 17:47 0
csust 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	csust 40 楼赞一个！ 2013-7-11 16:22 0
谢俊鹏雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	谢俊鹏 41 楼谢谢分享，支持原创！ 2013-7-12 16:11 0
wuzhiwen 雪币： 281 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 42 楼一步一步跟，把chrome.exe.virus每一条指令都看一偏，当要分析释放的那DLL时我都不想再分析了~~太大了，很敬佩LZ的毅力！不知道面对一大堆指令，不可能一句一句分析吧，但不一句句分析又怎么能知道程序做的什么呢？请大牛指点下~ 累了以后有空才分析那DLL 2013-7-16 10:14 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 43 楼个人觉得反病毒公司的分析病毒不是这个样子的。他们有自动分析平台和相关工具。这样做能很快得到病毒木马的行为特征等…… 而本文的目的是逆向，最终是为了还原代码。这需要所有的细节，和纯分析不同。汇编看得多了，就不是一句一句看了，而是一段一段看。如果不还原代码，完全可以分析得快些。 2013-7-16 12:15 0
寒江雪语雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	寒江雪语 44 楼 mark 学习一下 2013-7-16 12:25 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 45 楼分析的真好，谢lz 2013-8-1 22:12 0
RookieRoy 雪币： 86 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	RookieRoy 46 楼下载了。。。。还没看 2013-8-1 23:15 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 47 楼楼主太狠了， 2013-8-2 12:30 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 48 楼谢谢楼主分享 2013-8-2 13:06 0
zxqloveyou 雪币： 215 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 141 粉丝 0 关注私信	zxqloveyou 49 楼 lz应该装个杀毒软件滴.. 2013-8-8 21:50 0
SHATIAN 雪币： 112 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	SHATIAN 50 楼谢谢楼主分享，学习了.... 2013-8-9 17:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hackerlzc

发帖

613

回帖

440

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (96) ◀ 1 2 3 4 ▶
nicotine 雪币： 139 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	nicotine 26 楼 mark, 支持下 2013-7-2 19:40 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 27 楼非老鸟，真小白 2013-7-3 12:04 0
冰壶菩提雪币： 1136 活跃值： (752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 1 关注私信	冰壶菩提 28 楼楼主太谦虚了，处理中毒不难，逆向分析很难。对付感染性病毒，想杀得干净：1.重装系统。2.恢复exe程序正常的文件关联。3.如果mbr被篡改，恢复正常mbr。 2013-7-3 20:30 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 29 楼高深。。 2013-7-4 13:53 0
Johvid 雪币： 487 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	Johvid 30 楼 mark一下 2013-7-4 13:57 0
shangrila 雪币： 1585 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 210 粉丝 0 关注私信	shangrila 31 楼精神可嘉！！！`、 2013-7-4 21:17 0
we玖兰雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	we玖兰 32 楼 mark以下~~ 2013-7-5 10:16 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 33 楼好帖必顶。。 2013-7-5 10:29 0
hgfangying 雪币： 166 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	hgfangying 34 楼下载学习，感谢楼主分享：） 2013-7-5 12:13 0
weibeat 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	weibeat 35 楼 mark一下 2013-7-5 14:14 0
凭凡雪币： 62 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 45 回帖 145 粉丝 0 关注私信	凭凡 36 楼写的挺详细的。楼主辛苦了啊 2013-7-5 18:39 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 37 楼 Parite 这个很恐怖，很厉害的感染型的建议用AVP，比较好用，国货就不行了 2013-7-7 10:18 0
强子SeeSnow 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	强子SeeSnow 38 楼感觉像是跟我遇到的一样的，Virus.Win32.Parite.H，我重点是对比文件被感染前后，编写程序将被感染文件进行修复，用这个来做的毕业设计。 2013-7-8 16:47 0
wuzhiwen 雪币： 281 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 39 楼我也要跟着LZ，慢慢分析 2013-7-8 17:47 0
csust 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	csust 40 楼赞一个！ 2013-7-11 16:22 0
谢俊鹏雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	谢俊鹏 41 楼谢谢分享，支持原创！ 2013-7-12 16:11 0
wuzhiwen 雪币： 281 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 42 楼一步一步跟，把chrome.exe.virus每一条指令都看一偏，当要分析释放的那DLL时我都不想再分析了~~太大了，很敬佩LZ的毅力！不知道面对一大堆指令，不可能一句一句分析吧，但不一句句分析又怎么能知道程序做的什么呢？请大牛指点下~ 累了以后有空才分析那DLL 2013-7-16 10:14 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 43 楼个人觉得反病毒公司的分析病毒不是这个样子的。他们有自动分析平台和相关工具。这样做能很快得到病毒木马的行为特征等…… 而本文的目的是逆向，最终是为了还原代码。这需要所有的细节，和纯分析不同。汇编看得多了，就不是一句一句看了，而是一段一段看。如果不还原代码，完全可以分析得快些。 2013-7-16 12:15 0
寒江雪语雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	寒江雪语 44 楼 mark 学习一下 2013-7-16 12:25 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 45 楼分析的真好，谢lz 2013-8-1 22:12 0
RookieRoy 雪币： 86 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	RookieRoy 46 楼下载了。。。。还没看 2013-8-1 23:15 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 47 楼楼主太狠了， 2013-8-2 12:30 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 48 楼谢谢楼主分享 2013-8-2 13:06 0
zxqloveyou 雪币： 215 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 141 粉丝 0 关注私信	zxqloveyou 49 楼 lz应该装个杀毒软件滴.. 2013-8-8 21:50 0
SHATIAN 雪币： 112 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	SHATIAN 50 楼谢谢楼主分享，学习了.... 2013-8-9 17:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复