计算机pe病毒的感染过程,感染型PE病毒分析与专杀修复工具的开发.pdf
70 现代制造技术 与装备 2014 6 期 总 223 期
感染型PE 病毒分析与专杀修复工具的开发
李西山
(临沂市人民医院,临沂 276003 )
摘 要:本文对感染技术在病毒发展过程中的地位进行了分析、然后重点分析感染式病毒,针对感染式病
毒的难以检测和清除以及对可执行文件的破坏,本文提出了对特定的感染式病毒编写相应的专杀及修复工具,
实现无损失的清除病毒及修复被感染文件。
关键词:病毒 PE 感染式
1 研究背景
计算机病毒分类有很多,如后门、蠕虫、下载者,感染
[ 1]
型病毒 。感染型病毒与其他病毒的一个最大的不同点是
它会感染可执行文件,在运行可执行文件时,会先启动病
毒程序。目前杀毒软件清理病毒的方式一般是删除,但是 图 1 解密部分
这种方式对感染型病毒是没有意义的。由于杀毒软件检
测病毒的方式还是以特征码检测为主,导致被感染的正
常软件也会被检测为病毒,造成无法清除。我认为针对这
种病毒,第一方法是预防,安装带有行为检测的安全软
件;第二个方法,就是针对每个变种,进行分析,编写相应
图2 获取函数地址
的修复程序,将被感染的正常软件,修复正常。通过这类
获取所有函数地址结束后,得到的函数地址,如图3 。
程序的编写,一方面可以更好的理解感染型病毒的运行
过程,提高自己的分析能力;另一方面,可以做到不丢失
数据,修复还原数据,也可以避免重装系统,根本性的解
决问题。
1.1 静态分析
静态分析最大的优势在于可以不运行程序,一方面可
以做到计算机不被感染,另一方面对于一些被破坏,导致
[ 2]
无法运行的样本也可以进行分析 。
在分析之前,先在虚拟机中,运行样本,使其感染几个
可执行文件,以便用来提取信息并进行共同特点的查找,
执行完毕后,得到四个被感染的可执行文件分别为: 图3 函数地址列表
Virpecomp .ex$ 、VirTest .ex$ 、VirCrackMe .ex$ 、VirHash .ex$ ( 上面的函数可以得到,样本会对文件、注册表进行
于怕无意间将其运行,于是将后缀修改为ex$ )。 操作。
1.2 动态分析 (3 )生成缓存文件。通过函数 GetTickCount 函数当前
动态分析指的是使用 OD 载入程序,然后通过 int3 中 系统时间,并根据时间生成三个随即字母作为缓存文件
断单步执行样本,并显示当前寄存器、反汇编代码、内存、 的文件名,后缀为.tmp ,通过函数 GetTempFileNameA 来获
堆栈等信息,通过对这些信息的判断、分析来判断当前程 取缓存文件夹路径 ,每次通过 ReadFile 来读取样本中
序在进行什么样的操作,当前系统的状态等。 0x2800 字节的数据到内存中,并进行解密,得到可执行文
(1 )解密代码。图 1 是刚载入样本的最初几行代码, 件代码,使用 WriteFile 写入到生成的新文件中,循环多
可以很明显的看出是对数据进行的异或解密,以双字为 次,将数据全部写入新文件。
单位,以 0xAD766E 为密钥,从地址 0x452018+0x6C4 处开 (4 )载入新生成的文件。生成新的文件后 ,使用
始解密到0x4520 18 地址处。 LoadLibraryA 来载入新生成的文件,并调用 GetProcAddress
(2 )动态获取函数地址。调用 LoadLibraryA 载入动态 获取载入模块中的Initate 函
计算机pe病毒的感染过程,感染型PE病毒分析与专杀修复工具的开发.pdf相关推荐
- 熊猫烧香病毒分析与专杀工具
先看看专业分析: Jacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案 档案编号:CISRT2006078 病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersk ...
- BitDefender发布了超级工厂病毒Stuxnet的专杀工具
据来自BitDefender中国的最新消息,BitDefender已发布了针对超级工厂病毒Stuxnet的专杀工具(Stuxnet国内译成"震网"."超级病毒" ...
- “鬼影”病毒疑“躲猫猫”避风,金山发专杀工具施救
"鬼影"病毒疑"躲猫猫"避风,金山发专杀工具施救 昨天,金山安全中心发布了罕见的技术型病毒"鬼影"预警.据金山安全实验室监测结果,该 病毒的 ...
- 假面exe新U盘病毒专杀发布中【一个正常被隐藏,还有一个是病毒T_X】
当在下从家里神游回来的时候,著名反病毒人士天月MM,Annygi, 心潮澎湃,龙行江湖,byxxdrls等同学接到KSDA112789150 同学的SOS并发现了一个行为恶劣的新型U盘病毒.摆在反病毒 ...
- 用DOS批命令写的各种病毒专杀集成---推荐收藏
@echo off title 各种病毒清理专杀 echo ********************************************************************** ...
- 一个感染型木马病毒分析(一)
一. 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4 ...
- 一个感染型木马病毒分析(二)
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...
- PE病毒学习笔记——初识感染技术 (转自看雪学院)
[分享]PE病毒学习笔记--初识感染技术 <script type="text/javascript"></script> 标 题: [分享]PE病毒学 ...
- python控制启动防病毒软件的作用是_122、防病毒软件的作用是_______。 A) 检查计算机是否染有病毒,消除已感染的任何病毒 B) 杜绝病毒对计算...
122.防病毒软件的作用是_______.A)检查计算机是否染有病毒,消除已感染的任何病毒B)杜绝病毒对计算机的感染C)查出计算机已感染的任何病毒,消除其中的一部分D)检查计算机是否染有部... 12 ...
最新文章
- XMOVE3.0手持终端——软件介绍(五):在2KB内存的单片机上实现的T9中文输入法
- [转]Photoshop Lab模式下保细节修复偏暗人物照片
- spring boot自动配置
- 速读《构建之法:现代软件工程》提问
- [Eclipse]GEF入门系列(七、XYLayout和展开/折叠功能)
- 第三十三讲:tapestry Ajax eventlink无刷新页面
- boost::mp11::mp_replace_third相关用法的测试程序
- 打包文档_苏教版小学数学16年级全十二册教案Word文档打包下载
- pipreqs生成python项目依赖清单
- Oracle GoldenGate Logdump工具简要说明
- 移动端ajax,jQuery基于$.ajax设置移动端click超时处理方法
- 离散数学之集合论 【上】
- 简易学生管理系统(C语言)
- cad插件制作教程_画图必备的CAD超级工具箱插件下载(含gif教程)
- swfobject.js 简介
- 判断是否打开相机权限,如果没有打开相机权限
- vue element插件this.$confirm用法(取消也可以发请求)
- 怎样在Excel顶部单元格操作锁定,技巧干货!Excel如何冻结首行单元格?
- pandas(综合测试)
- 「实用」打造自我感觉非常漂亮的Mac终端