好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 TobyLee 于 2025-10-17 14:05 编辑
分析结果.zip 解压密码:123病毒样本:sample_infected.zip 解压密码:infected
病毒样本如要运行请在测试环境运行(虚拟机中 并做好快照)
观看顺序
1. main.asm配合sample.idb
2. sample_dump\sample_dump02.idb
1.main.asm内容简介(sample.idb)
main.asm是我从sample.idb中提取的主要逻辑。
main.asm每一行指令上面的注释都给出了地址如果想去IDA中看我分析的流程可以通过这个去看
代码膨胀问题:只看代码的第一行,然后找到后面jmp每次只有一行代码。
3个函数声明
MAIN proto ;加载3个函数
REAL_MAIN proto ;跳到sub_401400
fn_GetKnl32FuncByHash proto;REAL_MAIN 函数是跳到主要逻辑的。
2. sample_dump02.ex_
路径 sample_dump\sample_dump02.ex_
sample_dump02.ex_ 文件是动态调试时dump下来的文件(仅用于分析)。
路径 sample_dump\sample_dump02.idb静态分析的IDA文件路径 sample_dump\file_gen.zip释放的第一个文件 有释放时栈结构的记录(第一个文件被执行前的堆栈.txt)
请打开IDA,查看我标记fn_main2的函数,以流程图视角很快可以跟到一个动态修改代码达到反调试的代码。分析全部在IDA里这里就不复制出来了。
*这里大概debug下:下不对断点回让程序一直sleep而且占用cpu
本次分析,就到这个反调试结束,过这个调试应该也只是时间问题。(病毒分析到底是行为分析还是代码还原呢?有人告诉我下吗?)
继续分析的话我可能会从这个dump给出的导入表函数入手,IDA中可以查看DUMP文件的导入表,这些函数地址存在一个连续的地址空间中。
完全逆向出这个病毒,可能需要花费一些时间。
3. 加密逻辑并没有去找它的加密逻辑。
从现象看,流程如下
1. 提取图标生成 xxx.ico
2. 感染文档文件
3. 把感染后的文件修改图标
4. 它会一直修改文件夹选项设置。
5. 至于控制鼠标点击和键盘输入,我给出的实现方式是SetWindowsHookEx这类的函数
4. 一些调试过程中的文件有兴趣自行查看
sample_infected.zip
(422.93 KB, 下载次数: 39)
分析结果.zip
(2.86 MB, 下载次数: 69)
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2025-10-16 12:42
