70 现代制造技术 与装备 2014 6 期 总 223 期

感染型PE 病毒分析与专杀修复工具的开发

李西山

(临沂市人民医院，临沂 276003 )

摘 要：本文对感染技术在病毒发展过程中的地位进行了分析、然后重点分析感染式病毒，针对感染式病

毒的难以检测和清除以及对可执行文件的破坏，本文提出了对特定的感染式病毒编写相应的专杀及修复工具，

实现无损失的清除病毒及修复被感染文件。

关键词：病毒 PE 感染式

1 研究背景

计算机病毒分类有很多，如后门、蠕虫、下载者，感染

[ 1]

型病毒 。感染型病毒与其他病毒的一个最大的不同点是

它会感染可执行文件，在运行可执行文件时，会先启动病

毒程序。目前杀毒软件清理病毒的方式一般是删除，但是 图 1 解密部分

这种方式对感染型病毒是没有意义的。由于杀毒软件检

测病毒的方式还是以特征码检测为主，导致被感染的正

常软件也会被检测为病毒，造成无法清除。我认为针对这

种病毒，第一方法是预防，安装带有行为检测的安全软

件；第二个方法，就是针对每个变种，进行分析，编写相应

图2 获取函数地址

的修复程序，将被感染的正常软件，修复正常。通过这类

获取所有函数地址结束后，得到的函数地址，如图3 。

程序的编写，一方面可以更好的理解感染型病毒的运行

过程，提高自己的分析能力；另一方面，可以做到不丢失

数据，修复还原数据，也可以避免重装系统，根本性的解

决问题。

1.1 静态分析

静态分析最大的优势在于可以不运行程序，一方面可

以做到计算机不被感染，另一方面对于一些被破坏，导致

[ 2]

无法运行的样本也可以进行分析 。

在分析之前，先在虚拟机中，运行样本，使其感染几个

可执行文件，以便用来提取信息并进行共同特点的查找，

执行完毕后，得到四个被感染的可执行文件分别为： 图3 函数地址列表

Virpecomp .ex$ 、VirTest .ex$ 、VirCrackMe .ex$ 、VirHash .ex$ ( 上面的函数可以得到，样本会对文件、注册表进行

于怕无意间将其运行，于是将后缀修改为ex$ )。 操作。

1.2 动态分析 (3 )生成缓存文件。通过函数 GetTickCount 函数当前

动态分析指的是使用 OD 载入程序，然后通过 int3 中 系统时间，并根据时间生成三个随即字母作为缓存文件

断单步执行样本，并显示当前寄存器、反汇编代码、内存、 的文件名，后缀为.tmp ，通过函数 GetTempFileNameA 来获

堆栈等信息，通过对这些信息的判断、分析来判断当前程 取缓存文件夹路径 ，每次通过 ReadFile 来读取样本中

序在进行什么样的操作，当前系统的状态等。 0x2800 字节的数据到内存中，并进行解密，得到可执行文

(1 )解密代码。图 1 是刚载入样本的最初几行代码， 件代码，使用 WriteFile 写入到生成的新文件中，循环多

可以很明显的看出是对数据进行的异或解密，以双字为 次，将数据全部写入新文件。

单位，以 0xAD766E 为密钥，从地址 0x452018+0x6C4 处开 (4 )载入新生成的文件。生成新的文件后 ，使用

始解密到0x4520 18 地址处。 LoadLibraryA 来载入新生成的文件，并调用 GetProcAddress

(2 )动态获取函数地址。调用 LoadLibraryA 载入动态 获取载入模块中的Initate 函