首页
社区
课程
招聘
[转帖]那个所谓“机器狗”的较为完整的分析
发表于: 2007-9-12 21:32 5936

[转帖]那个所谓“机器狗”的较为完整的分析

2007-9-12 21:32
5936
对前面发分析的hnhuqiong 兄弟没有任何冒犯之意,所以才迟一天转过来
请兄弟不要误会。
本来只是在UNPACKCN上见样本,看着玩的,所以没有规范的分析

这是对于那个被吹得不得了的“机器狗”较为完整的分析。
相信hnhuqiong兄弟对于内核相关的东西并不关心,因为它写磁盘的方法
在一篇已经流传了几年的文章中有代码。个人觉得不必要遮掩什么
具体链接就不给了,因为代码可以从IDB中整理出来,有心着也肯定可以搜到。
没有逆向成C,因为个人感觉看IDA更舒服且对我更有利

http://www.debugman.com/read.php?tid=593

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
继续学习
2007-9-12 21:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
好像有的小题大作了吧???
2007-9-12 21:48
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
4
对老兄的严谨作风十分欣赏。或许我们在调试这个病毒的方式上不同,造成了我的一点偏差。这里我予以感谢。

这里我的确要指出我的一个错误(错60%给自己一个台阶 ),就是提取程序本身401000大小7e0不是作为解码串,而是作为一个校验串送pcihdd.sys(防止修改或者hook),校验通过后,查表得出密钥,解码的是PCIHDD.SYS的资源(1000/1000引用了老兄的数据),回送缓冲区。
的确,由于本人习惯动态调试,在softice被驱动挂掉后,只好简单的看了看pcihdd.sys的IDA文件后,也看到了解码的一段,就理所当然的认为是解码程序的,但漏掉了是解码自己资源的问题。这里向老兄给以敬意。

老兄还有一点疑问并没有完整回答,就是我前面所说的参数是如何得到的??
以此谢意,学问是争出来的,这不?老兄其实没有看明白字符串送驱动到底是为什么,我明白是不能修改的,防止人篡改程序或者下CC断点。我看漏了驱动内的东西,两下一综合,分析不是更加明白。

还有就是我个人认为病毒分析一些关键东西可以适当隐藏,否则变种将漫天飞,这就是罪过了。
2007-9-12 22:32
0
雪    币: 315
活跃值: (204)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
同意这个观点
2007-9-12 23:06
0
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
不太懂您说的是什么“参数”
本人不善言语,觉得所有东西都在IDB里的。

另外,可能是关注的区域不同,这里所说的读写磁盘的方式,本人已经在一些实际的工具中见识过了,所以并没有当作什么"秘密"来看。
当然,明白您的意思,受教了
2007-9-12 23:20
0
游客
登录 | 注册 方可回帖
返回
//