一个感染型的病毒逆向分析
作者:Fly2015
其實對于病毒分析人員來講,會逆向分析匯編代碼只是一個方面,一名出色的病毒分析人員不但要會分析匯編代碼還要會總結(jié)病毒的行為。因為病毒分析報告是給看不懂這些匯編代碼人員看的。一份好的病毒分析報告要讓人看了報告之后,能大致了解這個病毒有哪些危害,怎么去預防和基本的判斷是這種病毒。如果是為了寫病毒專殺而做的分析報告那就另當別論了。
對于代碼的具體分析:
關(guān)鍵?函數(shù)402500的具體分析:
在拷貝數(shù)據(jù)之前,該函數(shù)根據(jù)新的文件名稱會先創(chuàng)建一個文件。
設定的定時器標識為100.
跳轉(zhuǎn)分支的代碼的分析:
設定的定時器的標識是200.
關(guān)鍵?函數(shù)403A90?的具體分析:
先分析定時器標識為100的代碼部分:?
下面具體分析函數(shù)4030F0,如下:
再分析定時器的標識為200的代碼的部分:
?
=====================================================================
下面對關(guān)鍵?函數(shù)404120—文件的遍歷?進行具體的分析:
還記得前面的循環(huán)到次數(shù)嗎?前面的循環(huán)遍歷的次數(shù)是4,因此,這里文件的遍歷的開始路徑為:
"C:\\*.*"
"E:\\*.*"
"F:\\*.*"
"G:\\*.*"
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
對?函數(shù)403F70即函數(shù)InfectsPE的具體分析:
下面對獲取目標資源的函數(shù)004023B0即函數(shù)GetResource進行分析:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
=====================================================================
=====================================================================
下面對關(guān)鍵?函數(shù)404560?進行具體的分析:
函數(shù)402450即GetRandBuffer函數(shù)就是產(chǎn)生一個隨機字符串,直接看IDA還原的代碼:
下面繼續(xù)分析代碼:
#########################################################################
單獨分析函數(shù)404440,如下:
#########################################################################
?
OK,花了一天半的時間分析了這么多,不想再這么分析了,中間我也偷了懶,就這樣吧。權(quán)當曾經(jīng)無聊過,后面也懶得總結(jié)了,只是一種興趣和愛好罷了,算不上是一份病毒分析報告。排版比較亂,寫的也比較亂,沒有總結(jié)就等于沒分析。哈哈
雖然分析文檔沒什么用但是還是提供分析文檔的下載地址:http://download.csdn.net/detail/qq1084283172/8906969
總結(jié)
以上是生活随笔為你收集整理的一个感染型的病毒逆向分析的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 感染性的木马病毒分析之样本KWSUpre
- 下一篇: 用C++实现的壳(基础版)