[求助]自己学习分析病毒的时候遇到的一个壳-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
fjqisba 雪币： 2402 活跃值： (6808) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 265 粉丝 61 关注私信	fjqisba 2 楼把它当成没壳的程序不就行了 2018-11-9 20:05 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 3 楼 fjqisba 把它当成没壳的程序不就行了感觉好多函数都被屏蔽了,分析过程有点困难. 2018-11-12 10:06 0
如此美丽。雪币： 6 活跃值： (303) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	如此美丽。 4 楼 CreateThread 下个断点再往下跟一会就看到有调用VirtualAlloc 然后有几次 rep movsb 里面就是真正的病毒 dump出来分析就行那个才是UPX的 2018-11-12 11:21 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 5 楼我尝试尝试，我还想问一句，这病毒是不是得在联网的情况下才可以完整的去调式？ 2018-11-12 11:31 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 6 楼这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方，执行到返回，在Buffer上下一个写断点。F9执行以后你会断到一个 rep movsb的循环。这个时候查看ESI你可以得到一个含有PE文件的Buffer。Dump并且清理PE，你会得到一个PE文件，MD5是7C681B396FC1AA0973691D3D6B186853，这个文件是个UPX压缩过的PE。用UPX -d解压缩，你会得到最终的脱壳病毒。MD5是57CDE8DDD4261277272A6151855F8966 已经脱壳的文件我附加在回复里了。解压密码:infected 最后于 2018-11-13 10:13 被Morgion编辑，原因：上传的附件： virus.zip （180.88kb，11次下载） 2018-11-12 12:46 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 7 楼谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？ 2018-11-12 13:12 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 8 楼 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 跪了,给大佬磕头 2018-11-12 13:43 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 9 楼 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 本人对于这壳是萌新，大佬能不能给个图文教程或者视频的，感激不尽。 2018-11-12 13:53 0
kdfjkdfx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kdfjkdfx 10 楼 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？给大佬磕头,真的强 2018-11-12 15:57 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 11 楼 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？不需要联网，直接跑的可以。 2018-11-12 23:28 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 12 楼 Morgion 不需要联网，直接跑的可以。就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。 2018-11-13 08:40 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 13 楼 pghuanghui 就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。 2018-11-13 10:10 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 14 楼 Morgion 如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。知道啦，谢谢大大，我之前下的是写入断点，没在rep movsb断下。 2018-11-13 10:38 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 15 楼 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 大大，有空你能不能做个视频给我看看或者GIF都可以，感激不尽。 2018-11-13 16:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
fjqisba 雪币： 2402 活跃值： (6808) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 265 粉丝 61 关注私信	fjqisba 2 楼把它当成没壳的程序不就行了 2018-11-9 20:05 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 3 楼 fjqisba 把它当成没壳的程序不就行了感觉好多函数都被屏蔽了,分析过程有点困难. 2018-11-12 10:06 0
如此美丽。雪币： 6 活跃值： (303) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	如此美丽。 4 楼 CreateThread 下个断点再往下跟一会就看到有调用VirtualAlloc 然后有几次 rep movsb 里面就是真正的病毒 dump出来分析就行那个才是UPX的 2018-11-12 11:21 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 5 楼我尝试尝试，我还想问一句，这病毒是不是得在联网的情况下才可以完整的去调式？ 2018-11-12 11:31 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 6 楼这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方，执行到返回，在Buffer上下一个写断点。F9执行以后你会断到一个 rep movsb的循环。这个时候查看ESI你可以得到一个含有PE文件的Buffer。Dump并且清理PE，你会得到一个PE文件，MD5是7C681B396FC1AA0973691D3D6B186853，这个文件是个UPX压缩过的PE。用UPX -d解压缩，你会得到最终的脱壳病毒。MD5是57CDE8DDD4261277272A6151855F8966 已经脱壳的文件我附加在回复里了。解压密码:infected 最后于 2018-11-13 10:13 被Morgion编辑，原因：上传的附件： virus.zip （180.88kb，11次下载） 2018-11-12 12:46 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 7 楼谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？ 2018-11-12 13:12 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 8 楼 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 跪了,给大佬磕头 2018-11-12 13:43 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 9 楼 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 本人对于这壳是萌新，大佬能不能给个图文教程或者视频的，感激不尽。 2018-11-12 13:53 0
kdfjkdfx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kdfjkdfx 10 楼 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？给大佬磕头,真的强 2018-11-12 15:57 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 11 楼 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？不需要联网，直接跑的可以。 2018-11-12 23:28 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 12 楼 Morgion 不需要联网，直接跑的可以。就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。 2018-11-13 08:40 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 13 楼 pghuanghui 就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。 2018-11-13 10:10 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 14 楼 Morgion 如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。知道啦，谢谢大大，我之前下的是写入断点，没在rep movsb断下。 2018-11-13 10:38 0
pghuanghui 雪币： 7667 活跃值： (2754) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 15 楼 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 大大，有空你能不能做个视频给我看看或者GIF都可以，感激不尽。 2018-11-13 16:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助]自己学习分析病毒的时候遇到的一个壳