首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]我也帖一下我的第3阶段第1题的解决方案
发表于: 2007-9-19 20:12 9613

[原创]我也帖一下我的第3阶段第1题的解决方案

一个刀客 活跃值
1
2007-9-19 20:12
9613

这个病毒的多态的,因此不太好处理,其会感染exe和scr文件,
在PE头中会留下love(evol)标志,可能会多次感染。

病毒入口,作用为解码:

00415000 > /EB 00           jmp     short 00415002              ; 多态
00415002   \FC              cld
00415003    87DB            xchg    ebx, ebx
00415005    F5              cmc
00415006    55              push    ebp
00415007    8BEC            mov     ebp, esp
00415009    E8 11000000     call    0041501F
0041500E    E8 B7000000     call    004150CA
00415013    EB 00           jmp     short 00415015
00415015    87DB            xchg    ebx, ebx
00415017    EB 00           jmp     short 00415019
00415019    90              nop
0041501A    E9 32000000     jmp     00415051
0041501F    67:64:FF36 0000 push    [dword fs:0]
00415025    67:64:8926 0000 mov     [fs:0], esp
0041502B    012D BA504100   add     [4150BA], ebp
00415031    31DB            xor     ebx, ebx
00415033    68 00000100     push    10000                            ; UNICODE "=::=::\"
00415038    68 00000080     push    80000000
0041503D    53              push    ebx
0041503E    53              push    ebx
0041503F    68 00040000     push    400
00415044    68 00000080     push    80000000
00415049    53              push    ebx
0041504A    53              push    ebx
0041504B    FF15 9C634000   call    [<&KERNEL32.GetModuleHandleA>]   ; kernel32.GetModuleHandleA
00415051    EB 00           jmp     short 00415053
00415053    F9              stc
00415054    F5              cmc
00415055    89DB            mov     ebx, ebx
00415057    29C0            sub     eax, eax
00415059    FEC8            dec     al
0041505B    08C0            or      al, al
0041505D    74 04           je      short 00415063
0041505F  ^ 75 F8           jnz     short 00415059
00415061    EB 67           jmp     short 004150CA
00415063    F9              stc
00415064    FC              cld
00415065    89DB            mov     ebx, ebx
00415067    F8              clc
00415068    29D2            sub     edx, edx
0041506A    29C9            sub     ecx, ecx
0041506C    EB 00           jmp     short 0041506E
0041506E    F8              clc
0041506F    B1 1F           mov     cl, 1F				; 密钥, 会变
00415071    8D52 01         lea     edx, [edx+1]
00415074    49              dec     ecx
00415075  ^ 75 FA           jnz     short 00415071
00415077    F9              stc
00415078    E8 00000000     call    0041507D			; 得到加密代码的位置
0041507D    5F              pop     edi					; 得到加密代码的位置
0041507E    87DB            xchg    ebx, ebx
00415080    F8              clc
00415081    81C7 5A000000   add     edi, 5A				; 得到加密代码的位置
00415087    57              push    edi
00415088    29F6            sub     esi, esi
0041508A    81F6 00290000   xor     esi, 2900           ; 加密代码的长度,可能会变, 2900为正常,
00415090    EB 00           jmp     short 00415092      ; 如果大于2900则多余部份是被偷掉的代码,需要复制回去
00415092    89D2            mov     edx, edx
00415094    8607            xchg    [edi], al
00415096    89D2            mov     edx, edx
00415098    F5              cmc
00415099    89D2            mov     edx, edx
0041509B    87DB            xchg    ebx, ebx
0041509D    66:31D0         xor     ax, dx              ; 解码方法,可能会变
004150A0    8607            xchg    [edi], al
004150A2    FC              cld
004150A3    87DB            xchg    ebx, ebx
004150A5    90              nop
004150A6    EB 00           jmp     short 004150A8
004150A8    89D2            mov     edx, edx
004150AA    FC              cld
004150AB    90              nop
004150AC    90              nop
004150AD    89D2            mov     edx, edx
004150AF    47              inc     edi
004150B0    4E              dec     esi
004150B1    EB 00           jmp     short 004150B3
004150B3    FC              cld
004150B4    09F6            or      esi, esi
004150B6  ^ 75 DC           jnz     short 00415094
004150B8    5F              pop     edi                         ; 解码完成
004150B9    BD 00000000     mov     ebp, 0
004150BE    8B55 F8         mov     edx, [ebp-8]
004150C1    67:64:8916 0000 mov     [fs:0], edx
004150C7    C9              leave
004150C8    FFE7            jmp     edi                         ; 跳到解密后的代码去

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (10)
天线宝宝
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
刀客  刀客
2007-9-19 20:20
0
十三少
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
3
我来顶一下传说中的超人气马甲大王。
2007-9-19 20:20
0
tzl
雪    币: 234
活跃值: (1659)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
4
这年头还是马甲吃香
2007-9-19 20:40
0
ccfer
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
私信
5
美工挺厉害啊
2007-9-19 21:05
0
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
刀客  刀客
2007-9-19 21:13
0
hawking
雪    币: 1969
活跃值: (46)
能力值: (RANK:550 )
在线值:
发帖
回帖
粉丝
私信
7
N个马甲一台戏(N<=10)
2007-9-19 21:22
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
8
牛人啊~~
2007-9-19 22:39
0
backer
雪    币: 1829
活跃值: (1372)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
私信
9
果然是把好刀
2007-9-20 02:30
0
popeylj
雪    币: 360
活跃值: (77)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
10
这个年头,马甲啊
2007-12-5 09:25
0
petnt
雪    币: 485
活跃值: (12)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
私信
11
让人不得不顶的好贴!
2007-12-5 10:24
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//