吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 6437|回复: 54

[PC样本分析] 【吾爱动画大赛2019参赛作品】- 带你零基础入门,快速学习,病毒分析!

  [复制链接]
x51zqq 发表于 2019-9-16 02:13
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 x51zqq 于 2019-9-16 02:49 编辑

1、前言
参加了【吾爱动画大赛2019】,因为视频内容定位是新手,内容主要讲解的是病毒分析的基本流程和分析方法,所以视频讲解过程中比较细致,
但是这也导致视屏的时间有些不够,在原视频中没有对样本进行完整的分析,这里以图文的方式对样本后续分析进行补充。
视频样本使用的是“熊猫烧香”,之前病毒区也有大佬分析过,所以你也可以参考那篇文章,如果你是看完视频过来的,
我觉得按照我视频里讲的,其实你应该不用看这篇文章,也能够进行独立分析了。所以你可以尽量在分析完后在来看这篇文章。

2、分析技巧
2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD。
2.2 IDA加载Delphi程序后,根据实际情况修改编译器选项,ASCII字符串风格,增加代码可读性。
2.3 IDA添加Delphi程序签名文件,识别常用系统函数调用。
2.4 由于IDR对Delphi库函数的识别率比IDA高,动态调试时,可以配合OD/IDA一起使用。
2.5 常用Delphi系统库函数,可以查看Delphi system文件,也可以百度参考相关说明文档。
2.6 Delphi程序,使用fastcall调用约定,前2个参数使用eax,edx传递,其余参数从左到右依次压栈,堆栈由被调用者恢复。(由于编译器不同,寄存器,压栈顺序可能不同,视具体情况而定)
[C] 纯文本查看 复制代码
004529A9    push       dword ptr ds:[455C00];   //参数3:"Hello"
004529AF    push       452A18; ' '              //参数4:" "
004529B4    push       dword ptr ds:[455C04];   //参数5:"World"
004529BA    lea        eax,[ebp-4]              //参数1
004529BD    mov        edx,3                    //参数2
004529C2    call       @LStrCatN                LStrCatN(lpBuff,3,"Hello"," ","World")

3、分析流程
3.1 流程图
流程图.png
3.2 静态分析
3.2.1 分析导入表
[C] 纯文本查看 复制代码
文件:
    0x0000       "CreateFileA"
    0x0000       "WriteFile"
    0x0000       "ReadFile"
    0x0000       "FindNextFileA"
网络:
    0x0000       "socket"
    0x0000       "connect"
    0x0000       "InternetReadFile"
    0x0000       "InternetOpenUrlA"
        0x0000       "URLDownloadToFileA"
服务:
    0x0000       "OpenServiceA"
    0x0000       "OpenSCManagerA"
    0x0000       "DeleteService"
    0x0000       "ControlService"
    0x0000       "CloseServiceHandle"
进线程:
    0x0000       "CreateThread"
    0x0000       "TerminateProcess"
    0x0000       "WinExec"
注册表:
    0x0000       "RegSetValueExA" 
    0x0000       "RegDeleteValueA" 
    0x0000       "RegCreateKeyExA"
其它:
    0x0000       "SetTimer"
    0x0000       "NetRemoteTOD"
    0x0000       "NetScheduleJobAdd"
    0x0000       "OpenProcessToken"
    0x0000       "LookupPrivilegeValueA"
    0x0000       "AdjustTokenPrivileges"
    0x0000       "WNetAddConnection2A"
    0x0000       "WNetCancelConnectionA"

3.3 动态分析
3.3.1 初始化自校验
1.png
3.3.2 主功能模块1:自拷贝,bat自删除

判断当前路径是否存在ini配置文件,存在则删除
2.png
如果当前文件未被感染,并且不是"drivers\spcolsv.exe",则自拷贝并运行
3.png
4.png
如果是被感染的文件,则从自身释放原文件,创建.bat删除感染文件,运行原文件后自删除
5.png
6.png
如果"drivers\spcolsv.exe"正在运行则程序退出,否则删除"drivers\spcolsv.exe"后重新创建,并运行。
7.png
3.3.3 主功能模块2:
递归遍历,感染Exe等文件
8.png
9.png
10.png
递归遍历,感染Html等文件
11.png
12.png
删除.GHO系统备份文件
13.png
在每个文件夹目录下生成ini配置文件,更新当前日期
14.png
15.png
设置定时器,每6秒执行一次,在磁盘根目录生成setup.exe和autorun.inf文件
16.png
161.png
17.png
18.png
创建线程,通过139,445端口感染局域网主机。
19.png
自拷贝到网络主机共享目录,创建计划任务执行“GameSetup.exe”
20.png
21.png
3.3.4 主功能模块3:
创建定时器,执行不同任务
22.png
结束杀软,任务管理器等进程
23.png
设置Run注册表自启动
24.png
设置隐藏文件不显示
25.png
解密URL,下载并执行
26.png
删除共享
27.png
停止并删除杀软服务
28.png

免费评分

参与人数 31威望 +1 吾爱币 +34 热心值 +29 收起 理由
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hkdiaod + 1 + 1 谢谢@Thanks!
cheneric0929 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
stal1ker + 1 + 1 用心讨论,共获提升!
biajibiu + 1 谢谢@Thanks!
世界第一纯洁 + 1 + 1 用心讨论,共获提升!
Cynthia94 + 1 + 1 谢谢@Thanks!
akckchen + 1 + 1 用心讨论,共获提升!
ytfh1131 + 1 + 1 谢谢@Thanks!
liuyj1019 + 1 用心讨论,共获提升!
Mzhang + 1 谢谢@Thanks!
草飞天下 + 1 + 1 我很赞同!
天空藍 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fei8255 + 1 + 1 用心讨论,共获提升!
moguxican + 1 + 1 我很赞同!
孤影残阳 + 1 图文编辑辛苦
wangjun963 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
戏子丷 + 1 + 1 谢谢@Thanks!
没道理 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zha + 1 + 1 我很赞同!
果汁分妳一半 + 1 + 1 热心回复!
有梦想滴蜗牛 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sunnylds7 + 1 + 1 热心回复!
yixi + 1 + 1 谢谢@Thanks!
glocksheep + 1 + 1 学习学习,恶补基础
清炒藕片丶 + 1 + 1 学习了
sonata572 + 1 + 1 谢谢@Thanks!
ybbhai + 1 + 1 谢谢@Thanks!
simplex + 1 + 1 用心讨论,共获提升!
沅澧潇湘 + 1 + 1 谢谢@Thanks!
411183343 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| x51zqq 发表于 2019-9-16 13:01
 楼主| x51zqq 发表于 2019-9-16 12:09
lini3hao 发表于 2019-9-16 10:06
你们都是感谢大佬分享   我也很感谢 但是 为什么 我下载的  全部都是解压出错  根本解压不出来!!!!!! ...

参赛作品统一解压密码是“www.52pojie.cn”,和病毒区不一样。
ljzbox 发表于 2019-9-16 06:15
一脸懵逼的进来,一脸懵逼的出去,高手,学习了
涛之雨 发表于 2019-9-16 07:08
看到软件的icon,有种莫名其妙的熟悉感。。。似乎是在哪里见到过
(陷入沉思)
沅澧潇湘 发表于 2019-9-16 07:48
感谢分享!
1wang 发表于 2019-9-16 07:52
感谢楼主分享经验
凌晨四点半 发表于 2019-9-16 08:09
谢谢分享
jjyy774447 发表于 2019-9-16 08:13
向大佬致敬
haoii123 发表于 2019-9-16 08:38
向大佬致敬
白菜籽 发表于 2019-9-16 08:45
特地来看大佬操作
mxzjzj 发表于 2019-9-16 08:48
在哪里下载视频啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-12-6 22:27

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表