[求助]自己学习分析病毒的时候遇到的一个壳-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
fjqisba 雪币： 4096 活跃值： (5903) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 246 粉丝 51 关注私信	fjqisba 2018-11-9 20:05 2 楼 0 把它当成没壳的程序不就行了
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 10:06 3 楼 0 fjqisba 把它当成没壳的程序不就行了感觉好多函数都被屏蔽了,分析过程有点困难.
如此美丽。雪币： 17 活跃值： (273) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	如此美丽。 2018-11-12 11:21 4 楼 0 CreateThread 下个断点再往下跟一会就看到有调用VirtualAlloc 然后有几次 rep movsb 里面就是真正的病毒 dump出来分析就行那个才是UPX的
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 11:31 5 楼 0 我尝试尝试，我还想问一句，这病毒是不是得在联网的情况下才可以完整的去调式？
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2018-11-12 12:46 6 楼 0 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方，执行到返回，在Buffer上下一个写断点。F9执行以后你会断到一个 rep movsb的循环。这个时候查看ESI你可以得到一个含有PE文件的Buffer。Dump并且清理PE，你会得到一个PE文件，MD5是7C681B396FC1AA0973691D3D6B186853，这个文件是个UPX压缩过的PE。用UPX -d解压缩，你会得到最终的脱壳病毒。MD5是57CDE8DDD4261277272A6151855F8966 已经脱壳的文件我附加在回复里了。解压密码:infected 最后于 2018-11-13 10:13 被Morgion编辑，原因：上传的附件： virus.zip （180.88kb，11次下载）
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 13:12 7 楼 0 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？
MaMy 雪币： 12 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 2018-11-12 13:43 8 楼 0 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 跪了,给大佬磕头
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 13:53 9 楼 0 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 本人对于这壳是萌新，大佬能不能给个图文教程或者视频的，感激不尽。
kdfjkdfx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kdfjkdfx 2018-11-12 15:57 10 楼 0 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？给大佬磕头,真的强
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2018-11-12 23:28 11 楼 0 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？不需要联网，直接跑的可以。
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-13 08:40 12 楼 0 Morgion 不需要联网，直接跑的可以。就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2018-11-13 10:10 13 楼 0 pghuanghui 就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-13 10:38 14 楼 0 Morgion 如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。知道啦，谢谢大大，我之前下的是写入断点，没在rep movsb断下。
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-13 16:36 15 楼 0 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 大大，有空你能不能做个视频给我看看或者GIF都可以，感激不尽。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (14)
fjqisba 雪币： 4096 活跃值： (5903) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 246 粉丝 51 关注私信	fjqisba 2018-11-9 20:05 2 楼 0 把它当成没壳的程序不就行了
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 10:06 3 楼 0 fjqisba 把它当成没壳的程序不就行了感觉好多函数都被屏蔽了,分析过程有点困难.
如此美丽。雪币： 17 活跃值： (273) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	如此美丽。 2018-11-12 11:21 4 楼 0 CreateThread 下个断点再往下跟一会就看到有调用VirtualAlloc 然后有几次 rep movsb 里面就是真正的病毒 dump出来分析就行那个才是UPX的
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 11:31 5 楼 0 我尝试尝试，我还想问一句，这病毒是不是得在联网的情况下才可以完整的去调式？
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2018-11-12 12:46 6 楼 0 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方，执行到返回，在Buffer上下一个写断点。F9执行以后你会断到一个 rep movsb的循环。这个时候查看ESI你可以得到一个含有PE文件的Buffer。Dump并且清理PE，你会得到一个PE文件，MD5是7C681B396FC1AA0973691D3D6B186853，这个文件是个UPX压缩过的PE。用UPX -d解压缩，你会得到最终的脱壳病毒。MD5是57CDE8DDD4261277272A6151855F8966 已经脱壳的文件我附加在回复里了。解压密码:infected 最后于 2018-11-13 10:13 被Morgion编辑，原因：上传的附件： virus.zip （180.88kb，11次下载）
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 13:12 7 楼 0 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？
MaMy 雪币： 12 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 2018-11-12 13:43 8 楼 0 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 跪了,给大佬磕头
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-12 13:53 9 楼 0 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 本人对于这壳是萌新，大佬能不能给个图文教程或者视频的，感激不尽。
kdfjkdfx 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kdfjkdfx 2018-11-12 15:57 10 楼 0 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？给大佬磕头,真的强
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2018-11-12 23:28 11 楼 0 pghuanghui 谢谢大大的思路，顺便问下大大，这病毒是不是得在联网的情况下才能完整的提取？不需要联网，直接跑的可以。
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-13 08:40 12 楼 0 Morgion 不需要联网，直接跑的可以。就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2018-11-13 10:10 13 楼 0 pghuanghui 就是大大，我想问问，我在rep movsb循环里面找不到PE文件头格式，我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-13 10:38 14 楼 0 Morgion 如果你断到rep movsb的话，在数据窗口查看此时ESI指向的内存区域，你会发现PE的。知道啦，谢谢大大，我之前下的是写入断点，没在rep movsb断下。
pghuanghui 雪币： 7231 活跃值： (2293) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 37 粉丝 1 关注私信	pghuanghui 2018-11-13 16:36 15 楼 0 Morgion 这个样本是个Sality，而且这类壳是常见的俄制PE Loader壳。如果控制好断点，你可以获取到最原始的PE镜像。用OD载入样本以后，在VirtualAlloc下断，见到第一个分配RWX内存的地方， ... 大大，有空你能不能做个视频给我看看或者GIF都可以，感激不尽。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复