一、病毒樣本簡述

初次拿到樣本?KWSUpreport_感染.exe.v?文件，通過使用PE工具，并不能辨別出該樣本是那種感染類型，使用了一個比較直接的方法，從網上查資料，獲取到了該樣本的正常EXE文件的一些信息，資料表明：KWSUpreport.exe?是2009年版金山網盾程序的一個上傳用戶報告的程序模塊，因此從網上下載了該版本的金山網盾程序，獲取到了正常的KWSUpreport.exe文件，經過OD的調試以及與感染KWSUpreport.exe文件的對比，能夠確定獲取到的KWSUpreport.exe文件是該感染樣本的正常文件。

下面使用StudPE工具查看感染KWSUpreport.exe文件與正常KWSUpreport.exe文件的不同，感染文件和正常的文件的文件頭的信息不同，主要表現在：

1.??????程序的入口點發生了改變

2.??????整個PE文件的鏡像大小改變了

注意：PE文件的區段的數量沒有改變

感染文件和正常的文件的區段信息不同，主要表現在：

1.??????區段的RVA發生了改變

2.??????區段的大小發生了改變

注意：變化的部分主要集中在.text段即代碼段

結論：初步可以判定樣本文件KWSUpreport.exe的感染類型為節縫隙插入代碼的感染。

二、病毒樣本的具體分析

正常文件的OEP為00014F9D，感染文件的OEP為00015359.

對感染文件進行具體的分析：

==========================================================================

附上獲取Kernel32的基址的函數GetKernel32Instance的分析：

==========================================================================

從重定位的代碼位置拷貝到申請堆內存空間0015C010的代碼，大小為720H字節的大小，如下圖：

==========================================================================

附上重定位函數DoRelocateFun?的分析：

==========================================================================

下面對關鍵函數0015C240進行具體的分析：

地址00415359處的代碼的對比：

對創建線程的回調函數0015C50進行具體的分析：

轉載博客請保留本文鏈接：http://blog.csdn.net/qq1084283172/article/details/45933129

總結

以上是生活随笔為你收集整理的感染性的木马病毒分析之样本KWSUpreport.exe的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。