[原创]对某病毒的一次完全逆向分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]对某病毒的一次完全逆向分析

发表于: 2013-7-2 05:24 120278

[原创]对某病毒的一次完全逆向分析

hackerlzc

2013-7-2 05:24

120278

查看主题内容

收藏・124

免费・5

支持

最新回复 (96) ◀ 1 2 3 4 ▶
xkevin 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xkevin 51 楼看看，深入分析一下 2013-8-12 14:35 0
dobest 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	dobest 52 楼下载了pdf 文件以损坏打不开啥原因 2013-8-15 14:58 0
华哥huage 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 52 粉丝 1 关注私信	华哥huage 53 楼这是潘多拉病毒，我在08年被感染过，它会感染所有的可执行文件，在pe文件加一个节，节名是随机的，节名的最后一个字符是0x7 2013-8-16 14:56 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 54 楼这个账号…… 2013-8-16 17:09 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 55 楼马克一下，有空再看看。 2013-8-25 01:20 0
ganey 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ganey 56 楼应该是蠕虫病毒吧 2013-9-3 15:04 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 57 楼最近我也在怀疑UAC的原理了，越想感觉越没用 UAC的设计并不是网上一堆小白以为的：程序干坏事的时候提示而是程序运行前就提示，这时用户鬼知道程序安全不安全？该怎么办？我安装个浩方，它肯定提示要UAC，我能不同意吗？如果安装包带了病毒，一但允许，病毒就可以大肆破坏如果这样，我还不如关了UAC，开杀软件啊！我启动浩方，它也要UAC！我又能怎么办？能不同意吗？除非我别想玩游戏！同理，大家都是做开发的，有时需要从网上下载个小工具，执行，需要UAC，同意还是不同意呢？不同意不能用，同意的话也不知道有没有毒，这时候UAC到底有啥用呢？还不如安装个杀软更安全？ UAC仅仅是提示用户需要权限，一但病毒混在安装包里，或某些需要UAC权限的程序里，UAC根本无能为力所以，真正安全，应该还是杀软啊！UAC仅仅能防那些不是病毒，但不干好事的软件，如开机启动QQ啊之流的所以，我对UAC的设计感到很奇怪！当然也可能是我没想明白？望大侠帮忙解释下。。。 2013-9-9 11:41 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 58 楼先传在线扫描。再运行。 2013-9-9 11:55 0
rockhard 雪币： 441 活跃值： (149) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 59 楼先标注下，， 2013-9-9 12:36 0
toynasc 雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	toynasc 60 楼分析的很好，如果是我可能就重装系统了。 2013-9-24 17:56 0
PEstone 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	PEstone 61 楼 mark mark 膜拜中~~~ 2013-9-25 01:16 0
king少雪币： 5 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 62 楼开启UAC和关闭UAC无区别的情况是在用户弹UAC必点确定的时候，什么都点确定，那当然没UAC的好。个人认为UAC本来也不是给小白用户用的，因为他仅仅是个提示。所以想让UAC有点存在价值的话，个人安全习惯是必须的。而且UAC也算不上预警软件，UAC对于裸奔的普通用户更无意义。安全习惯加安全意识加UAC，本人裸奔数年了。一个很重要的习惯就是，如果我真的需要一个无权威不信任的工具的话，沙盘是个快捷高效的东西，立马判断出来有没有恶意行为。 2013-9-25 01:51 0
cnppk 雪币： 524 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 139 粉丝 0 关注私信	cnppk 63 楼 mark 一下 2013-9-26 15:14 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 64 楼才发现志愿者们把PDF整理出来放到主贴里了，辛苦了，谢谢！！这种帖子手机一旦打开，流量哗哗滴………………………… 2013-9-26 17:12 0
PEstone 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	PEstone 65 楼哈哈，不客气，不客气，看见这么好的帖子，整理着奔儿有精神。 2013-9-28 18:54 0
恶毛毛L 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	恶毛毛L 66 楼学习学习 ~~~~~ 2013-9-29 18:31 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 67 楼 mark!!!有空再看 2013-9-29 19:51 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 68 楼其实数字签名是一种很好的判断pe有没有被感染的方式，如果感染，那么数字签名要么没有，要么无效 2013-10-5 11:58 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 69 楼现在我平时是用低权限用户运行，管理员帐户设置了和低权限用户不同的密码，这样是过不了uac的。之所以“过”是因为用户本身已经拥有了管理员权限，只是没有提权。 2013-10-5 12:59 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 70 楼看楼下回复 2013-10-5 13:01 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 71 楼实际上uac的真正作用是控制用户，而不是控制程序，也就是说普通用户必须提供管理员凭据才能执行需要权限的程序，uac把提权的衔接作的比较好，方便用户不需要一开始就用管理员帐户运行。所以对于个人用户来说，其实uac的作用是倒置的，uac变成了一种控制程序能否拿到管理员权限的手段。不过即使这样，也能起到一定作用。在实践中，我发现很多用户都忽视了uac中的“已验证的发布者”一栏，这恰恰是我们应该注意观察并决定是否给程序提权的一个重要依据。这个是和数字证书相关的，能让你马上判断它到底是谁发布的，以及程序的完整性，如果带毒，那么数字签名一定无效，也就是说“已验证的发布者”会没有，这点是非常重要的。而大家经常忽视。不过uac的提示也仅仅是保证软件由谁发布的，而不保证发布者本身没有问题。还有一种情景是exe本身完整性没问题，但是dll被感染，此时uac还是会显示“已验证的发布者”。不过一旦运行，还是会感染。因为进程获得管理员权限，dll中的代码一旦执行，就。。所以单单观察“已验证的发布者”一栏可能更适合安装程序这种单exe的情景。当然如果是小软件的话，开发者可能不愿意花钱买证书，这时“已验证的发布者”的意义是不大的，需要你自己判断安装程序的完整性，不过随着越来越多的开发者（甚至sourceforge上面的）开始给自己的软件签名，数字签名的重要性就越来越大了。至于楼主这种情况，第一发布者没能力给自己的程序签名，所以不能保证程序传播的过程中不被修改，第二发布者本身可能不是善意的，所以很可能制作过程中就含有病毒。杀软，虚拟机更适合此类场景。 2013-10-5 13:02 0
xtayaitak 雪币： 106 活跃值： (574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 72 楼好文章哇，膜拜 2013-10-17 02:08 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 73 楼不一定吧，数字签名虽说不好伪造，但现在有签名的工具啊，我之前还用来给别人的驱动签名了因为它是用的第三方的签名，所以，病毒制造者，可以把病毒感染在exe上再签名，依然无解吧？ 2013-11-4 10:25 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 74 楼我从来没有说如果程序有数字签名就应该信赖它，关键看是谁签的。比如如果是36x签的，一概删除证书没有“第三方”一说，如果证书不是你的，而你却掌握了私钥，这是严重的盗用证书 2013-11-4 13:53 0
闲云轻烟雪币： 102 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 90 粉丝 0 关注私信	闲云轻烟 75 楼先标记一下，有能力再看！！！！ 2013-11-4 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hackerlzc

发帖

613

回帖

440

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (96) ◀ 1 2 3 4 ▶
xkevin 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xkevin 51 楼看看，深入分析一下 2013-8-12 14:35 0
dobest 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	dobest 52 楼下载了pdf 文件以损坏打不开啥原因 2013-8-15 14:58 0
华哥huage 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 52 粉丝 1 关注私信	华哥huage 53 楼这是潘多拉病毒，我在08年被感染过，它会感染所有的可执行文件，在pe文件加一个节，节名是随机的，节名的最后一个字符是0x7 2013-8-16 14:56 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 54 楼这个账号…… 2013-8-16 17:09 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 55 楼马克一下，有空再看看。 2013-8-25 01:20 0
ganey 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ganey 56 楼应该是蠕虫病毒吧 2013-9-3 15:04 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 57 楼最近我也在怀疑UAC的原理了，越想感觉越没用 UAC的设计并不是网上一堆小白以为的：程序干坏事的时候提示而是程序运行前就提示，这时用户鬼知道程序安全不安全？该怎么办？我安装个浩方，它肯定提示要UAC，我能不同意吗？如果安装包带了病毒，一但允许，病毒就可以大肆破坏如果这样，我还不如关了UAC，开杀软件啊！我启动浩方，它也要UAC！我又能怎么办？能不同意吗？除非我别想玩游戏！同理，大家都是做开发的，有时需要从网上下载个小工具，执行，需要UAC，同意还是不同意呢？不同意不能用，同意的话也不知道有没有毒，这时候UAC到底有啥用呢？还不如安装个杀软更安全？ UAC仅仅是提示用户需要权限，一但病毒混在安装包里，或某些需要UAC权限的程序里，UAC根本无能为力所以，真正安全，应该还是杀软啊！UAC仅仅能防那些不是病毒，但不干好事的软件，如开机启动QQ啊之流的所以，我对UAC的设计感到很奇怪！当然也可能是我没想明白？望大侠帮忙解释下。。。 2013-9-9 11:41 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 58 楼先传在线扫描。再运行。 2013-9-9 11:55 0
rockhard 雪币： 441 活跃值： (149) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 59 楼先标注下，， 2013-9-9 12:36 0
toynasc 雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	toynasc 60 楼分析的很好，如果是我可能就重装系统了。 2013-9-24 17:56 0
PEstone 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	PEstone 61 楼 mark mark 膜拜中~~~ 2013-9-25 01:16 0
king少雪币： 5 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 62 楼开启UAC和关闭UAC无区别的情况是在用户弹UAC必点确定的时候，什么都点确定，那当然没UAC的好。个人认为UAC本来也不是给小白用户用的，因为他仅仅是个提示。所以想让UAC有点存在价值的话，个人安全习惯是必须的。而且UAC也算不上预警软件，UAC对于裸奔的普通用户更无意义。安全习惯加安全意识加UAC，本人裸奔数年了。一个很重要的习惯就是，如果我真的需要一个无权威不信任的工具的话，沙盘是个快捷高效的东西，立马判断出来有没有恶意行为。 2013-9-25 01:51 0
cnppk 雪币： 524 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 139 粉丝 0 关注私信	cnppk 63 楼 mark 一下 2013-9-26 15:14 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 64 楼才发现志愿者们把PDF整理出来放到主贴里了，辛苦了，谢谢！！这种帖子手机一旦打开，流量哗哗滴………………………… 2013-9-26 17:12 0
PEstone 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	PEstone 65 楼哈哈，不客气，不客气，看见这么好的帖子，整理着奔儿有精神。 2013-9-28 18:54 0
恶毛毛L 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	恶毛毛L 66 楼学习学习 ~~~~~ 2013-9-29 18:31 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 67 楼 mark!!!有空再看 2013-9-29 19:51 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 68 楼其实数字签名是一种很好的判断pe有没有被感染的方式，如果感染，那么数字签名要么没有，要么无效 2013-10-5 11:58 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 69 楼现在我平时是用低权限用户运行，管理员帐户设置了和低权限用户不同的密码，这样是过不了uac的。之所以“过”是因为用户本身已经拥有了管理员权限，只是没有提权。 2013-10-5 12:59 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 70 楼看楼下回复 2013-10-5 13:01 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 71 楼实际上uac的真正作用是控制用户，而不是控制程序，也就是说普通用户必须提供管理员凭据才能执行需要权限的程序，uac把提权的衔接作的比较好，方便用户不需要一开始就用管理员帐户运行。所以对于个人用户来说，其实uac的作用是倒置的，uac变成了一种控制程序能否拿到管理员权限的手段。不过即使这样，也能起到一定作用。在实践中，我发现很多用户都忽视了uac中的“已验证的发布者”一栏，这恰恰是我们应该注意观察并决定是否给程序提权的一个重要依据。这个是和数字证书相关的，能让你马上判断它到底是谁发布的，以及程序的完整性，如果带毒，那么数字签名一定无效，也就是说“已验证的发布者”会没有，这点是非常重要的。而大家经常忽视。不过uac的提示也仅仅是保证软件由谁发布的，而不保证发布者本身没有问题。还有一种情景是exe本身完整性没问题，但是dll被感染，此时uac还是会显示“已验证的发布者”。不过一旦运行，还是会感染。因为进程获得管理员权限，dll中的代码一旦执行，就。。所以单单观察“已验证的发布者”一栏可能更适合安装程序这种单exe的情景。当然如果是小软件的话，开发者可能不愿意花钱买证书，这时“已验证的发布者”的意义是不大的，需要你自己判断安装程序的完整性，不过随着越来越多的开发者（甚至sourceforge上面的）开始给自己的软件签名，数字签名的重要性就越来越大了。至于楼主这种情况，第一发布者没能力给自己的程序签名，所以不能保证程序传播的过程中不被修改，第二发布者本身可能不是善意的，所以很可能制作过程中就含有病毒。杀软，虚拟机更适合此类场景。 2013-10-5 13:02 0
xtayaitak 雪币： 106 活跃值： (574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 72 楼好文章哇，膜拜 2013-10-17 02:08 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 73 楼不一定吧，数字签名虽说不好伪造，但现在有签名的工具啊，我之前还用来给别人的驱动签名了因为它是用的第三方的签名，所以，病毒制造者，可以把病毒感染在exe上再签名，依然无解吧？ 2013-11-4 10:25 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 74 楼我从来没有说如果程序有数字签名就应该信赖它，关键看是谁签的。比如如果是36x签的，一概删除证书没有“第三方”一说，如果证书不是你的，而你却掌握了私钥，这是严重的盗用证书 2013-11-4 13:53 0
闲云轻烟雪币： 102 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 90 粉丝 0 关注私信	闲云轻烟 75 楼先标记一下，有能力再看！！！！ 2013-11-4 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复