首页
社区
课程
招聘
未解决 [求助]自己学习分析病毒的时候遇到的一个壳
发表于: 2018-11-9 19:01 2217

未解决 [求助]自己学习分析病毒的时候遇到的一个壳

2018-11-9 19:01
2217
希望大大能够帮帮我,首先这个壳子在PE上核心扫描是显示的UPX,但是仔细一看PE32表被弄乱了,之后没法子了,各位大大们希望能详细告诉我遇见这类壳子改怎么去脱,感激不尽。
链接:https://pan.baidu.com/s/1E2k_qQ5K-Ym72OppxSKyZw 提取码:ntj2

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 2402
活跃值: (6808)
能力值: ( LV7,RANK:102 )
在线值:
发帖
回帖
粉丝
2
把它当成没壳的程序不就行了
2018-11-9 20:05
0
雪    币: 7667
活跃值: (2754)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
fjqisba 把它当成没壳的程序不就行了
感觉好多函数都被屏蔽了,分析过程有点困难.
2018-11-12 10:06
0
雪    币: 6
活跃值: (303)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
CreateThread 下个断点  再往下跟一会 就看到 有调用VirtualAlloc 然后 有几次 rep movsb  里面就是真正的病毒  dump出来分析就行  那个才是UPX的
2018-11-12 11:21
0
雪    币: 7667
活跃值: (2754)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
我尝试尝试,我还想问一句,这病毒是不是得在联网的情况下才可以完整的去调式?
2018-11-12 11:31
0
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
这个样本是个Sality,而且这类壳是常见的俄制PE Loader壳。如果控制好断点,你可以获取到最原始的PE镜像。
用OD载入样本以后,在VirtualAlloc下断,见到第一个分配RWX内存的地方,执行到返回,在Buffer上下一个写断点。F9执行以后你会断到一个 rep movsb的循环。这个时候查看ESI你可以得到一个含有PE文件的Buffer。Dump并且清理PE,你会得到一个PE文件,MD5是7C681B396FC1AA0973691D3D6B186853,这个文件是个UPX压缩过的PE。用UPX -d解压缩,你会得到最终的脱壳病毒。MD5是57CDE8DDD4261277272A6151855F8966

已经脱壳的文件我附加在回复里了。解压密码:infected


最后于 2018-11-13 10:13 被Morgion编辑 ,原因:
上传的附件:
2018-11-12 12:46
0
雪    币: 7667
活跃值: (2754)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
谢谢大大的思路,顺便问下大大,这病毒是不是得在联网的情况下才能完整的提取?
2018-11-12 13:12
0
雪    币: 12
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
Morgion 这个样本是个Sality,而且这类壳是常见的俄制PE Loader壳。如果控制好断点,你可以获取到最原始的PE镜像。用OD载入样本以后,在VirtualAlloc下断,见到第一个分配RWX内存的地方, ...
跪了,给大佬磕头
2018-11-12 13:43
0
雪    币: 7667
活跃值: (2754)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
Morgion 这个样本是个Sality,而且这类壳是常见的俄制PE Loader壳。如果控制好断点,你可以获取到最原始的PE镜像。用OD载入样本以后,在VirtualAlloc下断,见到第一个分配RWX内存的地方, ...
本人对于这壳是萌新,大佬能不能给个图文教程或者视频的,感激不尽。
2018-11-12 13:53
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
pghuanghui 谢谢大大的思路,顺便问下大大,这病毒是不是得在联网的情况下才能完整的提取?
给大佬磕头,真的强
2018-11-12 15:57
0
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
pghuanghui 谢谢大大的思路,顺便问下大大,这病毒是不是得在联网的情况下才能完整的提取?
不需要联网,直接跑的可以。
2018-11-12 23:28
0
雪    币: 7667
活跃值: (2754)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
Morgion 不需要联网,直接跑的可以。
就是大大,我想问问,我在rep movsb循环里面找不到PE文件头格式,我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。
2018-11-13 08:40
0
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
pghuanghui 就是大大,我想问问,我在rep movsb循环里面找不到PE文件头格式,我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。
如果你断到rep movsb的话,在数据窗口查看此时ESI指向的内存区域,你会发现PE的。
2018-11-13 10:10
0
雪    币: 7667
活跃值: (2754)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
Morgion 如果你断到rep movsb的话,在数据窗口查看此时ESI指向的内存区域,你会发现PE的。
知道啦,谢谢大大,我之前下的是写入断点,没在rep movsb断下。
2018-11-13 10:38
0
雪    币: 7667
活跃值: (2754)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
15
Morgion 这个样本是个Sality,而且这类壳是常见的俄制PE Loader壳。如果控制好断点,你可以获取到最原始的PE镜像。用OD载入样本以后,在VirtualAlloc下断,见到第一个分配RWX内存的地方, ...
大大,有空你能不能做个视频给我看看或者GIF都可以,感激不尽。
2018-11-13 16:36
0
游客
登录 | 注册 方可回帖
返回
//