- 1、本文档共64页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
对某病毒的一次完全逆向分析之旅
作者:hackerlzc at
2013/07/01
目录
1 前言1
2 环境配置1
3 样本提取1
4 分析病毒Loader 3
5 提取被捆绑的dll 文件30
6 分析main_virus.dll 30
6.1 分析main_virus.dll 的框架结构31
6.2 分析DllMain31
6.3 分析Initiate 32
6.4 分析main_virus.dll 的感染部分33
6.4+ 变异代码生成算法43
6.5 分析main_virus.dll 的功能(后门)部分58
6.5.1 调试问题58
6.5.2 寻找关键代码58
6.5.3 分析通信协议61
6.5.4 编写后门利用程序62
总结63
1 前言
一次从网上下载了个rar 压缩包,双击之后winrar 直接崩溃。当时心想,自己是不是太
幸运了,竟然撞到了一个利用winrar 漏洞的POC。然而测试发现,即使不打开rar 文档,winrar
同样一启动就崩溃。可见,不是winrar 有漏洞。难道是由于前期对winrar 的patch 造成的?
直接把备份的winrar 还原回去,“暂时”能用了。又过了几天,由于某种原因,需要用Chrome
浏览器,结果Chrome 浏览器启动即崩溃,再打开winrar 又崩溃„„这时,笔者开始怀疑是
不是中招了。结果用IDA 查了下Chrome 主程序的反汇编,入口点代码异常。可见,确实中
毒了,而且是PE 感染型病毒。笔者用的是win7 系统,一直稞奔。平时的安全性主要依赖
UAC 和“良好”的上网习惯. 。由于对UAC 的信任,料想病毒应该没有权限能够改写C:\Program
Files 文件夹中的程序,被感染的规模应该不大。然而这次真是大错特错了。笔者的OD 一类
的工具在D 盘,用OD 调试一下OD 自身,结果更让人吃惊,OD 也被感染了!这下可麻烦
了,OD 运行需要管理员权限的,这样一来,病毒同样有管理员权限,所以除系统目录还有
点“特殊照顾”外,其它目录病毒都是可以改写的。试了试,结果证明推测是正确的。几乎
所有安装的程序被感染,所有其它盘里保存的安装包和各类程序同样无一幸免。无奈之余,
还是求助了一向鄙视的杀软,临时安装数字,扫了下,病毒数目有多少就不提了。花了好长
时间处理完了,C 盘的程序勉强恢复能用,然而其它盘里的程序多半处于残疾状态。因为不
是专杀,而且现在多数安装包带自校验,所以备份的安装包几乎全部报废。更要命的是自己
常用的工具箱根本没法处理。里边本来就是黑白不分,现在又有谁能识别清楚?一句话,损
失太大了!
平时自己就去那么几个站点,上网习惯还算可以,这病毒到底是从哪儿来的呢?仔细回
想下,稍微有了些头绪。事发前些天笔者曾经从坛子里下载了个**黑客工具箱,打开一看是
用音速启动管理的。然而,这个音速启动界面竟然触发UAC,需要管理员权限。好奇心使笔
者当时没大注意这个,直接以管理员权限运行了。这应该是问题所在了。唉,好奇心真是害
人啊。这里也顺便提醒一下大家,一定要当心,别有用心的人大有人在,有几个真正在无私
奉献?笔者为了好奇心付出了惨重的代价,然而,能这么算了吗,血能白流吗?这病毒究竟
想干什么?怎么干的?又是出于对以上几个问题的好奇,经过一段时间地折腾,本文诞生了。
由于重点是逆向分析,练习逆向基本功,所以并未采用自动化分析工具。分析过程是自然式
的,流水账式的,这样能尽量还原现场的思路,以便于大家拍砖。这是笔者第一次深入分析
病毒,过程中难免会出现低智商问题,期待和大家一起交流进步,期待拍砖!
2 环境配置
反汇编:IDA 6.1
调试器:OD 1.1
调试环境:VMware + xp sp3 (避免ASLR 的干扰)
3 样本提取
附件中文件chrome.exe.virus 是被感染过的chrome 主程序。我们就从这个开始本次病毒
分析之旅吧。
您可能关注的文档
- 动态规划经典教程.doc
- 动态链接库编程.pdf
- 动态商业个人简介PPT模板.pptx
- 动态协议rip配置.doc
- 动通信数据挖掘的数据预处理研究.pdf
- 逗映无人机说明书.pdf
- 堵塞漏洞分析报告.pdf
- 短信猫数据库短信服务器8.0应用文档.doc
- 对称密码基本加密实验.doc
- 对基于SIP协议的VoIP的研究.pdf
- 2024-2025学年小学科学五年级下册人教鄂教版(2024)教学设计合集.docx
- 2024-2025学年小学劳动三年级上册川民版《劳动教育》教学设计合集.docx
- 2024-2025学年小学信息技术(信息科技)第一册(供三年级使用)浙教版(广西)教学设计合集.docx
- 2024-2025学年高中英语必修 第三册北师大版(2019)教学设计合集.docx
- 2024-2025学年初中科学九年级上册浙教版(2024)教学设计合集.docx
- 2024-2025学年初中物理九年级上册沪教版教学设计合集.docx
- 2024-2025学年初中地理八年级下册仁爱科普版(2024)教学设计合集.docx
- 2024-2025学年小学美术三年级上册辽海版(2024)教学设计合集.docx
- 2024-2025学年初中信息技术(信息科技)八年级下册大连理工版(2015)教学设计合集.docx
- 2024-2025学年高中物理选择性必修 第三册鲁科版(2019)教学设计合集.docx
文档评论(0)