-
-
[旧帖] 某病毒分析与专杀 0.00雪花
-
2015-7-7 01:42
-
- 第一次发帖,申请账号这么长时间了,还没转正,希望论坛大大能把我转为正式会员
,好了切入正题此病毒是同学电脑里面发现的,很恶心会全盘PE感染和Html感染,不过感染规则还好,幸好可以修复
分析文件:
病毒主体文件:Desktop.exe
默认浏览器:UC浏览器
分析工具:
OD
1.用OD载入Desktop.exe,UPX壳不脱也罢直接跳到入口点处
2.程序进行了乱跳和混淆处理先不看,直接对文件,进程线程,注册表,网络操作函数下断点,先摸清楚大体方向
3.果然露出了马脚
4.创建互斥防多开
5.挂钩ZwWriteVirtualMemory
6.创建UC浏览器进程
注入过程如下:
- a.读取浏览器基地址
- b.在内存中解析PE读取OEP(RVA)
- c.为浏览器申请5段空间,写入注入代码,最后次写入的是注入OEP(VA)处12字节的代码
7.改变注入OEP的第一个字节,将0xBF改为0xCC让浏览器主线程跑起来后触发断点异常,被OD接管,准备调试浏览器
8.浏览器里面会动态LdrGetProcess获取需要的函数填写IAT
9.创建1号线程定时循环改写注册表启动项
10.创建2号线程Socket连接远程服务端获取需要的信息,因远程段没开,无法确定要干嘛
11.创建3号线程全盘感染PE文件和Html文件
12.这个病毒因为联网的各项功能都废了,所以主要处理的应该是本地磁盘的感染修复,病毒查杀,所以下面的分析文档和查杀会详细介绍
病毒分析xx.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
楼主,难道我们是同学?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
应该可以转正
|
