[原创]第三阶段第一题分析+解决-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]第三阶段第一题分析+解决

发表于: 2007-9-19 15:42 14062

[原创]第三阶段第一题分析+解决

ccfer

2007-9-19 15:42

14062

病毒分析文档
病毒分析.txt
杀毒源代码及编译好的程序，代码写的较差，测试样本有限，可能有bug
不敢保证查杀完全正确。
kvx.rar

下面是一个感染了病毒的notepad.exe，为了安全请在虚拟机里测试
该样本感染时做了处理，使它以后只能感染某些文件名：VXME*.VXE
解压密码：vir
VXMEPAD.rar

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

病毒分析.txt （38.99kb，257次下载）
kvx.rar （56.83kb，138次下载）
VXMEPAD.rar （48.11kb，81次下载）

收藏・6

免费・7

支持

最新回复 (22)
ww990 雪币： 217 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 285 粉丝 0 关注私信	ww990 1 2 楼沙发一次 2007-9-19 15:57 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 3 楼原来可以这样写。。早知道我也把我的注释贴出来了搞成文档了。。 2007-9-19 16:02 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 4 楼高兴高兴 2007-9-19 16:13 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 5 楼高兴高兴 2007-9-19 16:19 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 6 楼学习 BTW：马甲真牛马甲真多马甲一家亲 2007-9-19 16:21 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼彪悍的注释不需要代码 2007-9-19 16:29 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 8 楼学习，很彪悍。。。 2007-9-19 16:34 0
变形金刚雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	变形金刚 9 楼变形变形 2007-9-19 16:46 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 10 楼虚伪虚伪 2007-9-19 16:46 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 11 楼你没写文档？ 2007-9-19 16:46 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 12 楼虚伪的人都是高手 2007-9-19 17:08 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 13 楼大牛浮出了水面 2007-9-19 17:41 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 14 楼 loc_3614AE: push esp push edi call ss:_Process32Next[ebp] ;遍历进程 test eax, eax jz short loc_361520 inc esi cmp esi, 4 ;每4个进程感染一个 jb short loc_3614AE 我怎么认为这里是把前4个系统进程不感染，winlogon的时候感染并建立线程，后面的进程全部感染。 2007-9-19 17:59 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 15 楼 Script1.rc IDD_MSTEST DIALOG DISCARDABLE 100, 100, 218, 82 STYLE DS_MODALFRAME \| WS_POPUP \| WS_CAPTION \| WS_SYSMENU CAPTION "Keygen by ccfer" FONT 9, "宋体" BEGIN DEFPUSHBUTTON "注册",ID_GEN,135,7,53,15 EDITTEXT IDC_EDIT_NAME,45,7,75,14,ES_AUTOHSCROLL EDITTEXT IDC_EDIT_CODE,45,31,166,44,ES_MULTILINE \| WS_VSCROLL LTEXT "用户名",IDC_STATIC1,6,7,33,8 LTEXT "注册码",IDC_STATIC4,6,30,33,8 END 高兴高兴 2007-9-19 18:05 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 16 楼我搞错了，你说的对，是前4个系统进程不感染。 winlogon什么意思我还是不懂 2007-9-19 18:15 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 17 楼做第一题九连环时的垃圾都留在里面的 2007-9-19 18:16 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 18 楼插入远程线程关闭文件保护,因为打开系统文件时WINDOWS文件保护会自动调出来, 这里在winlogon中调用sfc.dll 2号函数关闭它. 2007-9-19 18:27 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼意思就是winlogon不可能是第5或第6个？ 2007-9-19 18:57 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 20 楼貌似winlogon.exe始终是第4个,这应该是系统引导时创建进程的固定顺序. 2007-9-19 19:05 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 21 楼学习学习学习 2007-9-20 02:42 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 22 楼厉害～～金山高级工程师有你这么厉害不　　 High　　　High　　High 2007-9-20 08:11 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 23 楼 [QUOTE=;]...[/QUOTE] 好贴! 一定得顶上去! 学习! 2007-11-23 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ccfer

发帖

1529

回帖

2473

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
ww990 雪币： 217 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 285 粉丝 0 关注私信	ww990 1 2 楼沙发一次 2007-9-19 15:57 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 3 楼原来可以这样写。。早知道我也把我的注释贴出来了搞成文档了。。 2007-9-19 16:02 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 4 楼高兴高兴 2007-9-19 16:13 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 5 楼高兴高兴 2007-9-19 16:19 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 6 楼学习 BTW：马甲真牛马甲真多马甲一家亲 2007-9-19 16:21 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼彪悍的注释不需要代码 2007-9-19 16:29 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 8 楼学习，很彪悍。。。 2007-9-19 16:34 0
变形金刚雪币： 0 能力值： (RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	变形金刚 9 楼变形变形 2007-9-19 16:46 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 10 楼虚伪虚伪 2007-9-19 16:46 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 11 楼你没写文档？ 2007-9-19 16:46 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 12 楼虚伪的人都是高手 2007-9-19 17:08 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 13 楼大牛浮出了水面 2007-9-19 17:41 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 14 楼 loc_3614AE: push esp push edi call ss:_Process32Next[ebp] ;遍历进程 test eax, eax jz short loc_361520 inc esi cmp esi, 4 ;每4个进程感染一个 jb short loc_3614AE 我怎么认为这里是把前4个系统进程不感染，winlogon的时候感染并建立线程，后面的进程全部感染。 2007-9-19 17:59 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 15 楼 Script1.rc IDD_MSTEST DIALOG DISCARDABLE 100, 100, 218, 82 STYLE DS_MODALFRAME \| WS_POPUP \| WS_CAPTION \| WS_SYSMENU CAPTION "Keygen by ccfer" FONT 9, "宋体" BEGIN DEFPUSHBUTTON "注册",ID_GEN,135,7,53,15 EDITTEXT IDC_EDIT_NAME,45,7,75,14,ES_AUTOHSCROLL EDITTEXT IDC_EDIT_CODE,45,31,166,44,ES_MULTILINE \| WS_VSCROLL LTEXT "用户名",IDC_STATIC1,6,7,33,8 LTEXT "注册码",IDC_STATIC4,6,30,33,8 END 高兴高兴 2007-9-19 18:05 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 16 楼我搞错了，你说的对，是前4个系统进程不感染。 winlogon什么意思我还是不懂 2007-9-19 18:15 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 17 楼做第一题九连环时的垃圾都留在里面的 2007-9-19 18:16 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 18 楼插入远程线程关闭文件保护,因为打开系统文件时WINDOWS文件保护会自动调出来, 这里在winlogon中调用sfc.dll 2号函数关闭它. 2007-9-19 18:27 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼意思就是winlogon不可能是第5或第6个？ 2007-9-19 18:57 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 20 楼貌似winlogon.exe始终是第4个,这应该是系统引导时创建进程的固定顺序. 2007-9-19 19:05 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 21 楼学习学习学习 2007-9-20 02:42 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 22 楼厉害～～金山高级工程师有你这么厉害不　　 High　　　High　　High 2007-9-20 08:11 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 23 楼 [QUOTE=;]...[/QUOTE] 好贴! 一定得顶上去! 学习! 2007-11-23 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复