一个感染型的病毒逆向分析
作者:Fly2015
其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。
对于代码的具体分析:
关键 函数402500的具体分析:
在拷贝数据之前,该函数根据新的文件名称会先创建一个文件。
设定的定时器标识为100.
跳转分支的代码的分析:
设定的定时器的标识是200.
关键 函数403A90 的具体分析:
先分析定时器标识为100的代码部分:
下面具体分析函数4030F0,如下:
再分析定时器的标识为200的代码的部分:
=====================================================================
下面对关键 函数404120—文件的遍历 进行具体的分析:
还记得前面的循环到次数吗?前面的循环遍历的次数是4,因此,这里文件的遍历的开始路径为:
"C:\\*.*"
"E:\\*.*"
"F:\\*.*"
"G:\\*.*"
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
对 函数403F70即函数InfectsPE的具体分析:
下面对获取目标资源的函数004023B0即函数GetResource进行分析:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
=====================================================================
=====================================================================
下面对关键 函数404560 进行具体的分析:
函数402450即GetRandBuffer函数就是产生一个随机字符串,直接看IDA还原的代码:
下面继续分析代码:
#########################################################################
单独分析函数404440,如下:
#########################################################################
OK,花了一天半的时间分析了这么多,不想再这么分析了,中间我也偷了懒,就这样吧。权当曾经无聊过,后面也懒得总结了,只是一种兴趣和爱好罢了,算不上是一份病毒分析报告。排版比较乱,写的也比较乱,没有总结就等于没分析。哈哈
虽然分析文档没什么用但是还是提供分析文档的下载地址:http://download.csdn.net/detail/qq1084283172/8906969
一个感染型的病毒逆向分析相关推荐
- 一个感染型木马病毒分析(二)
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...
- 一个感染型木马病毒分析(一)
一. 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4 ...
- 计算机pe病毒的感染过程,感染型PE病毒分析与专杀修复工具的开发.pdf
70 现代制造技术 与装备 2014 6 期 总 223 期 感染型PE 病毒分析与专杀修复工具的开发 李西山 (临沂市人民医院,临沂 276003 ) 摘 要:本文对感染技术在病毒发展过程中的地位进 ...
- ransomware(假的勒索病毒)逆向分析
0x01:PEiD查壳 无壳 运行之后也没中毒 无毒 0x02: 运行一下看看 可用的只有一个输入框和一个按钮(Decrypt) 这里可以通过Restorator进行分析 随意输入12345678 ...
- 一个DDOS木马后门病毒的分析
http://blog.csdn.net/qq1084283172/article/details/49305827 一.样本信息 文件名称:803c617e665ff7e0318386e24df63 ...
- 一个恶意下载器的逆向分析
Die查壳, 发现没有加壳, 是使用VC++编写的64位程序 丢入VT用杀毒引擎和沙箱扫, 爆红基本可以确定其属于恶意软件: 查看其PE节区发现其包含了资源节, 内部可能藏有隐藏模块 查看一下这个程序 ...
- Ramnit感染型蠕虫病毒专杀工具
电脑突然中病毒了,所有html文件后面都加了一段VB的语句,花了半天时间终于解决了 问题如图:经常弹出这个弹框 解决办法: 运行FxRamnit杀毒软件,下载链接:http://dx2.pc0359. ...
- 病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
前言 这次我们会接着上一篇的内容继续对病毒进行分析.分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分 ...
- 关于感染型病毒的那些事(一)
在我看来,感染型病毒才是真正称得上为病毒,因为感染型病毒的手动清除比较困难,大学的时候,帮同学杀毒最烦躁的就是碰上感染型的病毒,除非写一个程序自动处理,不然手动清除是相当麻烦的.当然我所谓的真正病毒主 ...
最新文章
- My deep learning reading list
- BODY background=自适应大小_自适应(电脑/平板/手机)网页,自适应网页设计练习总结...
- 第十四章:详解Jenkins节点配置
- 怎么输出一个二维数组_LeetCode54与59,一个口诀教会你旋转二维数组
- 初始化跟路由相关的定时器
- vue-router实现SPA购物APP基本功能
- vb初学回顾:最大公约数 最小公倍数 素数求取
- c++入门之类继承初步
- Class类的创建方式大全
- python解析http数据包_python 3 处理HTTP 请求的包
- 服务零售全场景,苏宁机器人“分身有术”
- python打印网页成pdf_如何使用Python将网页转换为PDF
- 第七章 C语言函数_C语言全局变量和局部变量
- 用Everspin MR2xH40xDF SPI-MRAM替换赛普拉斯CY15B104QN SPI-FRAM
- 据我所知目前就只飞秋表情库
- 我的七年之痒与二人世界
- “天使药丸”阿司匹林的前世今生
- 解除IIS文件下载限制
- 惯性导航系统可替代基于GPS的跟踪
- [阿里云RocketMQ_Exception]valid resource owner failed.