一节 逆向病毒分析(实战)

玉面飞龙之王

          一次从网上下载了个 rar 压缩包，双击之后 winrar 直接崩溃。当时心想，自己是不是太幸运了，竟然撞到了一个利用 winrar 漏洞的 POC。然而测试发现，即使不打开 rar 文档，winrar同样一启动就崩溃。可见，不是 winrar 有漏洞。难道是由于前期对 winrar 的patch 造成的？直接把备份的 winrar 还原回去，“暂时”能用了。又过了几天，由于某种原因，需要用 Chrome浏览器，结果 Chrome 浏览器启动即崩溃，再打开 winrar 又崩溃„„这时，笔者开始怀疑是不是中招了。结果用 IDA 查了下 Chrome 主程序的反汇编，入口点代码异常。可见，确实中毒了，而且是 PE 感染型病毒。笔者用的是 win7 系统，一直稞奔。平时的安全性主要依赖UAC 和“良好”的上网习惯.。由于对 UAC 的信任，料想病毒应该没有权限能够改写 C:\Program Files 文件夹中的程序，被感染的规模应该不大。然而这次真是大错特错了。笔者的 OD 一类的工具在 D 盘，用 OD 调试一下 OD 自身，结果更让人吃惊，OD 也被感染了！这下可麻烦了，OD 运行需要管理员权限的，这样一来，病毒同样有管理员权限，所以除系统目录还有点“特殊照顾”外，其它目录病毒都是可以改写的。试了试，结果证明推测是正确的。几乎所有安装的程序被感染，所有其它盘里保存的安装包和各类程序同样无一幸免。无奈之余，还是求助了一向鄙视的杀软，临时安装数字，扫了下，病毒数目有多少就不提了。花了好长时间处理完了，C 盘的程序勉强恢复能用，然而其它盘里的程序多半处于残疾状态。因为不是专杀，而且现在多数安装包带自校验，所以备份的安装包几乎全部报废。更要命的是自己常用的工具箱根本没法处理。里边本来就是黑白不分，现在又有谁能识别清楚？一句话，损失太大了！平时自己就去那么几个站点，上网习惯还算可以，这病毒到底是从哪儿来的呢？仔细回想下，稍微有了些头绪。事发前些天笔者曾经从坛子里下载了个**黑客工具箱，打开一看是用音速启动管理的。然而，这个音速启动界面竟然触发 UAC，需要管理员权限。好奇心使笔 者当时没大注意这个，直接以管理员权限运行了。这应该是问题所在了。唉，好奇心真是害人啊。这里也顺便提醒一下大家，一定要当心，别有用心的人大有人在，有几个真正在无私奉献？笔者为了好奇心付出了惨重的代价，然而，能这么算了吗，血能白流吗？这病毒究竟想干什么？怎么干的？又是出于对以上几个问题的好奇，经过一段时间地折腾，本文诞生了。由于重点是逆向分析，练习逆向基本功，所以并未采用自动化分析工具。分析过程是自然式的，流水账式的，这样能尽量还原现场的思路，以便于大家拍砖。这是笔者第一次深入分析病毒，过程中难免会出现低智商问题。


解压密码：http://www.kaikuoyun.com/