-
-
[原创]【病毒木马】病毒样本半感染型分析的方法
-
发表于: 2020-3-21 17:27
-
类型:
desktop 桌面 \temp\ \windows\ netthief \avira\ \360\ \aliwangwang\ \internet explorer\ \outlook express\ \microsoft sql server\ \winrar\ \globallink\game\ \qqdoctor\ \rising\ \firefox \aliim visual studio \microsoft office\ \thunder\ exebinder \qq \world of warcraft\ \skynet\ \eset nod32 antivirus\ \windows live\messenger\ \winzip\
获取目录后将判断是否已经存在列表中,然后将其加入到列表
判断查找文件资源段,将源文件的资源段拷贝达到被感染文件的保留图标等信息。
不管是为了提升分析的能力还是分析的效率,都需要有更简便的方法或技巧来支撑,这篇分析会引用一点简单介绍IDA的方法辅助分析,让分析变得更容易,这是一个属于半感染型的病毒。
SHA1: 4fa645139fc313d1c33367d026e07ddfb1713e0c
使用IDA分析静态分析,在00401246这个位置的的call中调用大量loadlibrary+Getprocess,将获取的到的函数列表填充到返回值的地址中,所以命名是必要的,将下图的字符组合成完整字符进行调用API函数获取模块及函数地址。
使用这种方法能够看清楚样本的意图,但由于数量过于庞大所以需要使用更合适的方式来进行分析。
在获取函数地址列表时可以观察到,在交叉引用中,该全局变量被多次读取,表明这个全局变量正是分析的必要条件,返回的地址会写入到全局变量中,经过读该位置的函数地址进行调用API。
类型:
使用OD断点在全局变量上,在数据地址中能看到获取到的地址列表以及函数名称,复制下来构造strust给IDA使用,方便进行静态分析。
在IDA中可以创建通用脚本来导入到IDA快速进行构造结构,减少分析时间。IDA可以创建一个程序的结构文件,我们稍作修改添加一个结构体再用IDA读取进去就可以了。
最后于 2020-3-21 17:40
被Cc28256编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
