摘要:樣本下載樣本原文件鏈接我的分析過(guò)程文件鏈接提示請(qǐng)勿實(shí)體機(jī)分析文件信息收集查看文件類型,標(biāo)準(zhǔn)的頭改名后使用查殼工具查看是否有殼總共個(gè)區(qū)段���,不清楚是什么殼也不清楚是用什么編程語(yǔ)言寫(xiě)的使用加載�����,查看是否有關(guān)鍵字符串信息看來(lái)字符串之類的也被加密或者
樣本下載
樣本原文件 鏈接
我的分析過(guò)程文件 鏈接
提示:請(qǐng)勿實(shí)體機(jī)分析
文件信息收集
查看文件類型�,標(biāo)準(zhǔn)的PE頭
改名后使用查殼工具查看是否有殼
總共3個(gè)區(qū)段,不清楚是什么殼�!也不清楚是用什么編程語(yǔ)言寫(xiě)的
使用IDA加載,查看是否有關(guān)鍵字符串信息
看來(lái)字符串之類的也被加密或者壓縮了
動(dòng)態(tài)分析-脫殼
由于不清楚是什么殼���,所以只有嘗試多種通用脫殼的辦法:諸如單步法��,ESP定律以及最后一次異常法��!失敗的過(guò)程就不贅述了���,最終是用最后一次異常配合單步找到的OEP,如下�����,首先取消勾選所有的忽略異常選項(xiàng)
然后Shift+F9忽略異常運(yùn)行�����,運(yùn)行8次之后會(huì)到0x430EF1這個(gè)位置進(jìn)行一個(gè)很大的循環(huán)���,是為了找到kernel32的基址����,這時(shí)候在下一行下斷運(yùn)行即可
之后再單步F8,程序跑飛就返回來(lái)下個(gè)斷點(diǎn)重新運(yùn)行��,然后F7進(jìn)入這個(gè)函數(shù)內(nèi)部�����,跟個(gè)幾分鐘就會(huì)到j(luò)mp oep的地方
段間大跳轉(zhuǎn)肯定是OEP了�����,使用Ollydump先dump內(nèi)存
然后用Scylla修復(fù)導(dǎo)入表����,最終完成脫殼
脫殼后的程序入口
動(dòng)靜結(jié)合分析脫殼程序
初始化操作�����,包括獲取模塊句柄以及注冊(cè)句柄
該病毒最開(kāi)始進(jìn)行的關(guān)鍵操作就是分離原始PE文件��,因?yàn)樵嘉募鋵?shí)是由一個(gè)病毒體+一個(gè)注冊(cè)表編輯器組成的���,所以需要分離
(1).讀取病毒體的全部?jī)?nèi)容到緩沖區(qū)
(2).創(chuàng)建” C:WINDOWSuninstall
undll32.exe”這個(gè)文件�,并把之前緩沖區(qū)的內(nèi)容寫(xiě)入到這個(gè)文件中,即病毒體寫(xiě)入rundll32.exe
(3).寫(xiě)注冊(cè)表���,讓C:WINDOWSuninstall
undll32.exe實(shí)現(xiàn)自啟動(dòng)
(4).創(chuàng)建C:WINDOWSLogon1_.exe文件�����,并且寫(xiě)入病毒體
(5).病毒體文件的大小問(wèn)0x115D5�,所以原文件的指針偏移0x115D5之后就是注冊(cè)表編輯器的所有數(shù)據(jù)
(6).然后在桌面新建a.exe.exe��,把文件指針指向的地址起復(fù)制數(shù)據(jù)到a.exe.exe中�,并且刪除原文件a.exe,之后重命名a.exe.exe為a.exe以實(shí)現(xiàn)文件分離
殺掉程序中所有跟殺毒相關(guān)的進(jìn)程以及服務(wù)
(1).先創(chuàng)建查找到的殺毒進(jìn)程�����,再kill掉
(2).調(diào)用cmd來(lái)停止殺軟服務(wù)諸如:金山的服務(wù)���,江民殺毒服務(wù)等等
(3).創(chuàng)建線程繼續(xù)殺毒����,以及關(guān)閉系統(tǒng)聲音
Temp目錄下寫(xiě)入bat文件以及創(chuàng)建進(jìn)程運(yùn)行
(1).創(chuàng)建文件C:DOCUME~1ADMINI~1LOCALS~1Temp$$a13.bat
(2).解密字符串后寫(xiě)入內(nèi)容到$$a13.bat中
(3).創(chuàng)建進(jìn)程運(yùn)行該bat文件
(4)關(guān)閉本程序的進(jìn)程�,創(chuàng)建C:WINDOWSLogon1_.exe進(jìn)程以及修改后a.exe即注冊(cè)表編輯器運(yùn)行
加載自定義dll實(shí)現(xiàn)下載其它病毒文件
(1).解密下載鏈接��,大概十來(lái)個(gè)這樣子的"http://down.97725.com/downma1.exe"
(2).在一個(gè)線程對(duì)應(yīng)的函數(shù)中��,先訪問(wèn)資源文件dll1.dll���,再創(chuàng)建C:WINDOWSRichDll.dll然后將dll1.dll寫(xiě)入到Richdll.dll中
(3).加載資源管理器來(lái)加載這個(gè)Richdll.dll
(4).寫(xiě)注冊(cè)表實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)加載dll
創(chuàng)建一個(gè)線程,在線程中創(chuàng)建desktop.ini寫(xiě)入時(shí)間并且遍歷Z盤(pán)文件
(1).創(chuàng)建C:\_desktop.ini文件���,并寫(xiě)入當(dāng)前時(shí)間
(2).獲取Z盤(pán)類型��,方便后續(xù)操作
(3).遍歷Z盤(pán)中的所有文件
(4).設(shè)置每個(gè)文件的屬性為共享可寫(xiě)
再次創(chuàng)建一個(gè)線程,在線程中主要是創(chuàng)建套接字�,發(fā)送ping測(cè)試,嘗試連接局域網(wǎng)以及枚舉共享文件夾中的文件
(1).創(chuàng)建套接字以及發(fā)送hello,world測(cè)試�,需要加載icmp.dll使用其中的API
(2).爆破嘗試連接局域網(wǎng)
(3).獲取本機(jī)計(jì)算機(jī)名
(4).枚舉局域網(wǎng)共享文件夾中的共享文件
(5).進(jìn)入消息循環(huán),收到結(jié)束消息后會(huì)釋放資源關(guān)閉句柄
關(guān)于Win7不能運(yùn)行該程序
崩潰點(diǎn)就在于遍歷系統(tǒng)dll時(shí)����,地址訪0崩潰,而xp沒(méi)有崩潰的原因在于遍歷的第一個(gè)就是kernel32成功命中�,win7崩潰就在于遍歷的時(shí)候遇到了不能尋址的地址,下面圖片中這個(gè)偏移計(jì)算其實(shí)就是IAT的內(nèi)存搜索����,因?yàn)镮AT中有一個(gè)字段是該dll的名稱����。但不是所有的dll都有導(dǎo)入表結(jié)構(gòu)�����,當(dāng)遇到?jīng)]有導(dǎo)入表結(jié)構(gòu)的dll的時(shí)候上述尋址很容易遇到訪問(wèn)地址崩潰
關(guān)于為什么xp能從kernel32開(kāi)始遍歷����,而win7卻從ntdll附近開(kāi)始遍歷,并遍歷地址往高地址走�����,win7不可能訪問(wèn)到kernel32這個(gè)模塊��,原因很簡(jiǎn)單:
這個(gè)賦值寫(xiě)死了0x77000000����,根據(jù)xp賦的值,win7賦值應(yīng)該小于0x74000000
歸根結(jié)底就是操作系統(tǒng)不一樣��,模塊加載的地址不一樣���,寫(xiě)死地址兼容性就不高
END
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11410.html
