[原创]一个病毒样本的分析报告-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一个病毒样本的分析报告

发表于: 2014-5-18 21:02 21519

[原创]一个病毒样本的分析报告

地狱怪客

2014-5-18 21:02

21519

小菜第一次做病毒分析报告，凑合看吧。。。做个笔记。
病毒样本运行后会解密核心PE文件直接在内存里然后调用执行。解密这部分应该算个loader吧。

病毒样本入口点如下，ASPack v2.xx通过ESP定律完成脱壳
004C1000    90              nop
004C1001 >  60              pushad
004C1002    E8 03000000     call virus.004C100A
004C1007  - E9 EB045D45     jmp 45A914F7
004C100C    55              push ebp
004C100D    C3              retn
004C100E    E8 01000000     call virus.004C1014
004C1013    EB 5D           jmp short virus.004C1072
004C1015    BB EDFFFFFF     mov ebx,-0x13
004C101A    03DD            add ebx,ebp
004C101C    81EB 00100C00   sub ebx,0xC1000
004C1022    83BD 88040000 0>cmp dword ptr ss:[ebp+0x488],0x0
004C1029    899D 88040000   mov dword ptr ss:[ebp+0x488],ebx

脱壳后入口如下，Borland Delphi 6.0 - 7.0
004A852C    55              push ebp
004A852D    8BEC            mov ebp,esp
004A852F    B9 09000000     mov ecx,0x9
004A8534    6A 00           push 0x0
004A8536    6A 00           push 0x0
004A8538    49              dec ecx
004A8539  ^ 75 F9           jnz short virus.004A8534
004A853B    53              push ebx
004A853C    56              push esi
004A853D    B8 E4844A00     mov eax,virus.004A84E4
004A8542    E8 39BFF5FF     call virus.00404480
004A8547    33C0            xor eax,eax

1.第1段数据解密
解密原始数据起始位置0x004A9294    大小0x1DA0
解密后会立即   call 0x004A9294，解密后的数据还是加密解密操作的代码。
004A8686    BE A01D0000     mov esi,0x1DA0                       ; str_len = 0x1DA0
004A868B    B8 94924A00     mov eax,virus.004A9294               ; *eax   = 004A9294
004A8690    BB 81200000     mov ebx,0x2081                       ; i      = 0x2081
004A8695    3018            xor byte ptr ds:[eax],bl             ; *eax  ^= (i & 0xFF)
004A8697    4B              dec ebx                              ; i--
004A8698    85DB            test ebx,ebx
004A869A  ^ 75 F9           jnz short virus.004A8695             ; if(i > 0 ) goto 004A8695
004A869C    40              inc eax                              ; *eax++
004A869D    4E              dec esi                              ; str_len--
004A869E  ^ 75 F0           jnz short virus.004A8690             ; if(str_len > 0 ) goto 004A8690
004A86A0    BB 94924A00     mov ebx,virus.004A9294
004A86A5    B8 DCC74A00     mov eax,virus.004AC7DC
004A86AA    E8 F1B2F5FF     call virus.004039A0
004A86AF    50              push eax
004A86B0    FFD3            call ebx                             ; ebx= 解密的数据位置0x004A9294

尝试写的C语言代码1

void main()
{
  ////0x1DA0大小测试数据1 附件里的代码完整此处省略
  int str[] = {0x54,  0x8A,  0xED,  0x80,  0xC5,  0x9D,  0xFA, .........};
 
  int *p = str;
  for(int str_len = 0x1da0; 0 < str_len; p++,str_len--)
  {
    for(int i = 0x2081; 0 < i; i--)
    {
      *p ^= i & 0xFF;
    }
 
    printf("%02x ", *p);
  }
  printf("\n");
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

解密1.jpg （181.96kb，18次下载）
数据解密1.png （86.18kb，8次下载）
数据解密2.png （29.70kb，9次下载）
解密2.png （49.16kb，10次下载）
提取.png （62.63kb，10次下载）
is调试机.jpg （34.12kb，48次下载）
adobe_flash.jpg （80.50kb，6次下载）
开机注册表.jpg （71.38kb，13次下载）
分析报告.rar （2.94MB，202次下载）

收藏・19

免费・4

支持

赞赏记录

参与人

雪币

留言

时间

QinBeast

为你点赞~

2024-5-31 07:57

飘零丶

为你点赞~

2024-5-31 02:41

shinratensei

为你点赞~

2024-5-31 02:23

PLEBFE

为你点赞~

2023-3-5 04:10

最新回复 (40) 1 2 ▶
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 2 楼分析的不错啊,小妹 2014-5-18 21:08 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼去。。。 2014-5-18 21:09 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 4 楼其实主防一打，所有行为都出来了，无需这样分析。 2014-5-18 21:52 0
古越魂雪币： 173 活跃值： (132) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 154 粉丝 0 关注私信	古越魂 1 5 楼为妹子赞一个... 2014-5-18 21:59 0
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 6 楼主防一打,然后生成报告可以直接扔给面试官吗? 2014-5-18 22:01 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 7 楼为什么不能？现在没有多少病毒需要花15天去分析，都是自动化出报告，然后分析1-2个函数提取行为特征，第二天云就呼啦呼啦的去杀了。没有一家安全厂商希望人工去做流程分析，这个样本如入行为库的话， 14.修改DNS服务器主机名 15.修改mozilla浏览器信息这2条就可以了。 2014-5-18 22:03 0
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 8 楼 ,那病毒分析这差事更没有什么搞头了 2014-5-18 22:05 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 9 楼都是xml 中直接编写 <xxxx-位置1-位置2-特征-MD5（hash）(crc32)> 2014-5-18 22:07 0
fishpemo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fishpemo 10 楼分析的非常不错，拜读了！ 2014-5-18 22:09 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 11 楼现在有一部分病毒分析的人都是天天做云规则更新，只要一个HIPS引擎打规则，行为规则归类，然后更新云行为端，就行了。碰到难搞的样本，人工+HIPS+IDA+OD 专门写一个自定义规则类出来，然后直接生成模版类，云又去呼啦呼啦杀去了。哈哈 2014-5-18 22:09 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 12 楼地狱你可以去日游戏了，搞病毒分析不如做PE引擎开发去了。你这水平不搞游戏协议分析真浪费。浪费这些样本上，确实得不偿失。话说现在安全已经是末路了。呵呵~各种主防被PASS掉和各种游戏保护被日。 2014-5-18 22:11 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 13 楼哦，这样。我就是看了看数据加密 2014-5-18 22:14 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 14 楼他黑我我男的 2014-5-18 22:15 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 15 楼噢。。先找个工作再学学游戏分析吧 2014-5-18 22:17 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 16 楼你为啥不去逆游戏登陆协议去，在这搞这个浪费时间的东西？现在病毒分析做的人本身就没几个了。有这能力都去广海组团打欧美去了。 2014-5-18 22:18 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 17 楼稍微了解病毒分析啦。。哈。。谢谢游侠讲解 2014-5-18 22:20 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 18 楼我身边以前做病毒分析都去做国外游戏马去了，要不就是组团写脱机去了。 2014-5-18 22:21 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 19 楼噢。。好路线。。 2014-5-18 22:32 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 20 楼火焰，tdl4这种……必须人工 2014-5-18 23:23 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 21 楼是大部分简单病毒不需要。。。高级的肯定人工了吧 2014-5-18 23:31 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 22 楼分析得很详细啊！但是这些操作肯定是要被拦截的 LZ的工作态度找个工作应该问题不大吧！！ 2014-5-19 00:03 0
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 23 楼 ,本来就不是免杀样本... 2014-5-19 00:06 0
谷月轩雪币： 102 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 305 粉丝 1 关注私信	谷月轩 1 24 楼小妹我认得你了! 2014-5-19 00:40 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 25 楼我去他黑我我是男的 2014-5-19 00:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

地狱怪客

发帖

1125

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 2 楼分析的不错啊,小妹 2014-5-18 21:08 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼去。。。 2014-5-18 21:09 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 4 楼其实主防一打，所有行为都出来了，无需这样分析。 2014-5-18 21:52 0
古越魂雪币： 173 活跃值： (132) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 154 粉丝 0 关注私信	古越魂 1 5 楼为妹子赞一个... 2014-5-18 21:59 0
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 6 楼主防一打,然后生成报告可以直接扔给面试官吗? 2014-5-18 22:01 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 7 楼为什么不能？现在没有多少病毒需要花15天去分析，都是自动化出报告，然后分析1-2个函数提取行为特征，第二天云就呼啦呼啦的去杀了。没有一家安全厂商希望人工去做流程分析，这个样本如入行为库的话， 14.修改DNS服务器主机名 15.修改mozilla浏览器信息这2条就可以了。 2014-5-18 22:03 0
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 8 楼 ,那病毒分析这差事更没有什么搞头了 2014-5-18 22:05 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 9 楼都是xml 中直接编写 <xxxx-位置1-位置2-特征-MD5（hash）(crc32)> 2014-5-18 22:07 0
fishpemo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fishpemo 10 楼分析的非常不错，拜读了！ 2014-5-18 22:09 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 11 楼现在有一部分病毒分析的人都是天天做云规则更新，只要一个HIPS引擎打规则，行为规则归类，然后更新云行为端，就行了。碰到难搞的样本，人工+HIPS+IDA+OD 专门写一个自定义规则类出来，然后直接生成模版类，云又去呼啦呼啦杀去了。哈哈 2014-5-18 22:09 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 12 楼地狱你可以去日游戏了，搞病毒分析不如做PE引擎开发去了。你这水平不搞游戏协议分析真浪费。浪费这些样本上，确实得不偿失。话说现在安全已经是末路了。呵呵~各种主防被PASS掉和各种游戏保护被日。 2014-5-18 22:11 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 13 楼哦，这样。我就是看了看数据加密 2014-5-18 22:14 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 14 楼他黑我我男的 2014-5-18 22:15 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 15 楼噢。。先找个工作再学学游戏分析吧 2014-5-18 22:17 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 16 楼你为啥不去逆游戏登陆协议去，在这搞这个浪费时间的东西？现在病毒分析做的人本身就没几个了。有这能力都去广海组团打欧美去了。 2014-5-18 22:18 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 17 楼稍微了解病毒分析啦。。哈。。谢谢游侠讲解 2014-5-18 22:20 0
网络游侠雪币： 0 活跃值： (964) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 18 楼我身边以前做病毒分析都去做国外游戏马去了，要不就是组团写脱机去了。 2014-5-18 22:21 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 19 楼噢。。好路线。。 2014-5-18 22:32 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 20 楼火焰，tdl4这种……必须人工 2014-5-18 23:23 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 21 楼是大部分简单病毒不需要。。。高级的肯定人工了吧 2014-5-18 23:31 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 22 楼分析得很详细啊！但是这些操作肯定是要被拦截的 LZ的工作态度找个工作应该问题不大吧！！ 2014-5-19 00:03 0
安于此生雪币： 2672 活跃值： (3475) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 205 关注私信	安于此生 34 23 楼 ,本来就不是免杀样本... 2014-5-19 00:06 0
谷月轩雪币： 102 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 305 粉丝 1 关注私信	谷月轩 1 24 楼小妹我认得你了! 2014-5-19 00:40 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 25 楼我去他黑我我是男的 2014-5-19 00:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]一个病毒样本的分析报告

账号登录 验证码登录

账号登录

验证码登录