对某病毒的一次完全逆向分析之旅.pdfVIP

对某病毒的一次完全逆向分析之旅.pdf

  1. 1、本文档共64页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
对某病毒的一次完全逆向分析之旅 作者:hackerlzc at 2013/07/01 目录 1 前言1 2 环境配置1 3 样本提取1 4 分析病毒Loader 3 5 提取被捆绑的dll 文件30 6 分析main_virus.dll 30 6.1 分析main_virus.dll 的框架结构31 6.2 分析DllMain31 6.3 分析Initiate 32 6.4 分析main_virus.dll 的感染部分33 6.4+ 变异代码生成算法43 6.5 分析main_virus.dll 的功能(后门)部分58 6.5.1 调试问题58 6.5.2 寻找关键代码58 6.5.3 分析通信协议61 6.5.4 编写后门利用程序62 总结63 1 前言 一次从网上下载了个rar 压缩包,双击之后winrar 直接崩溃。当时心想,自己是不是太 幸运了,竟然撞到了一个利用winrar 漏洞的POC。然而测试发现,即使不打开rar 文档,winrar 同样一启动就崩溃。可见,不是winrar 有漏洞。难道是由于前期对winrar 的patch 造成的? 直接把备份的winrar 还原回去,“暂时”能用了。又过了几天,由于某种原因,需要用Chrome 浏览器,结果Chrome 浏览器启动即崩溃,再打开winrar 又崩溃„„这时,笔者开始怀疑是 不是中招了。结果用IDA 查了下Chrome 主程序的反汇编,入口点代码异常。可见,确实中 毒了,而且是PE 感染型病毒。笔者用的是win7 系统,一直稞奔。平时的安全性主要依赖 UAC 和“良好”的上网习惯. 。由于对UAC 的信任,料想病毒应该没有权限能够改写C:\Program Files 文件夹中的程序,被感染的规模应该不大。然而这次真是大错特错了。笔者的OD 一类 的工具在D 盘,用OD 调试一下OD 自身,结果更让人吃惊,OD 也被感染了!这下可麻烦 了,OD 运行需要管理员权限的,这样一来,病毒同样有管理员权限,所以除系统目录还有 点“特殊照顾”外,其它目录病毒都是可以改写的。试了试,结果证明推测是正确的。几乎 所有安装的程序被感染,所有其它盘里保存的安装包和各类程序同样无一幸免。无奈之余, 还是求助了一向鄙视的杀软,临时安装数字,扫了下,病毒数目有多少就不提了。花了好长 时间处理完了,C 盘的程序勉强恢复能用,然而其它盘里的程序多半处于残疾状态。因为不 是专杀,而且现在多数安装包带自校验,所以备份的安装包几乎全部报废。更要命的是自己 常用的工具箱根本没法处理。里边本来就是黑白不分,现在又有谁能识别清楚?一句话,损 失太大了! 平时自己就去那么几个站点,上网习惯还算可以,这病毒到底是从哪儿来的呢?仔细回 想下,稍微有了些头绪。事发前些天笔者曾经从坛子里下载了个**黑客工具箱,打开一看是 用音速启动管理的。然而,这个音速启动界面竟然触发UAC,需要管理员权限。好奇心使笔 者当时没大注意这个,直接以管理员权限运行了。这应该是问题所在了。唉,好奇心真是害 人啊。这里也顺便提醒一下大家,一定要当心,别有用心的人大有人在,有几个真正在无私 奉献?笔者为了好奇心付出了惨重的代价,然而,能这么算了吗,血能白流吗?这病毒究竟 想干什么?怎么干的?又是出于对以上几个问题的好奇,经过一段时间地折腾,本文诞生了。 由于重点是逆向分析,练习逆向基本功,所以并未采用自动化分析工具。分析过程是自然式 的,流水账式的,这样能尽量还原现场的思路,以便于大家拍砖。这是笔者第一次深入分析 病毒,过程中难免会出现低智商问题,期待和大家一起交流进步,期待拍砖! 2 环境配置 反汇编:IDA 6.1 调试器:OD 1.1 调试环境:VMware + xp sp3 (避免ASLR 的干扰) 3 样本提取 附件中文件chrome.exe.virus 是被感染过的chrome 主程序。我们就从这个开始本次病毒 分析之旅吧。

文档评论(0)

max + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档