专业丰富的破解论坛技术交流,提供软件安全,病毒分析,脱壳破解,安卓破解,加密解密等,由无数热衷于软件爱好者共同维护
 
发新帖
查看: 665|回复: 0

[技术文章] 二节 逆向病毒分析(实战)

[复制链接]
玉面飞龙之王 发表于 2020-9-15 22:52:22 | 显示全部楼层

环境配置
反汇编:IDA 6.1
调试器:OD 1.1
调试环境:VMware + xp sp3(避免 ASLR 的干扰)
样本提取
附件中文件 chrome.exe.virus 是被感染过的 chrome 主程序。我们就从这个开始本次病毒
分析之旅吧。
先用 IDA 载入,入口点部分代码如下:

.lif_:004D5000
.lif_:004D5000 public start
.lif_:004D5000 start:
.lif_:004D5000 nop
.lif_:004D5001 nop
.lif_:004D5002 push 52FD874Ch
.lif_:004D5007 pop ecx
.lif_:004D5008 push (offset loc_4D5022+2)
.lif_:004D500D pop edx
.lif_:004D500E nop
.lif_:004D500F push 598h
.lif_:004D5014 pop esi
.lif_:004D5015 nop
.lif_:004D5016
.lif_:004D5016 loc_4D5016: ; CODE XREF: .lif_:004D5026j
.lif_:004D5016 push dword ptr [edx+esi]
.lif_:004D5019 xor [esp], ecx
.lif_:004D501C pop dword ptr [edx+esi]
.lif_:004D501F nop
.lif_:004D5020 nop
.lif_:004D5021 dec esi
.lif_:004D5022
.lif_:004D5022 loc_4D5022: ; DATA XREF: .lif_:004D5008o
.lif_:004D5022 sub esi, 3
.lif_:004D5025 nop
.lif_:004D5026 jnz short loc_4D5016
.lif_:004D5028 movsb
.lif_:004D5029 cli
.lif_:004D502A cld

仔细观察这段代码,很显然从 004D5028 处以后为非正常的垃圾指令。我们从入口点
004D5000 处开始分析代码,看看它究竟做了什么。

push 52FD874Ch
pop ecx
这两条指令等价于 mov ecx,52FD874Ch
同样,还有类似的变形。
push dword ptr [edx+esi]
xor [esp], ecx
pop dword ptr [edx+esi]
这三条指令等价于 xor [edx+esi],ecx
dec esi
快速回复 返回顶部 返回列表