[原创]极虎(虎虎生威)病毒分析报告-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]极虎(虎虎生威)病毒分析报告

发表于: 2010-3-14 17:55 43448

[原创]极虎(虎虎生威)病毒分析报告

梦旅人

2010-3-14 17:55

43448

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

极虎病毒.rar （445.51kb，303次下载）

收藏・29

免费・7

支持

最新回复 (42) 1 2 ▶
linzehao 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	linzehao 2 楼膜拜。。。慢慢看。。 2010-3-14 17:57 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 3 楼 support!我今天一天都在玩木马，呵呵 2010-3-14 19:25 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 4 楼 LZ能大概说一下怎么个分析思路么？我拿到东西往往无从下手... 2010-3-14 22:41 0
deppcyan 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	deppcyan 5 楼分析的很详细 2010-3-14 23:36 0
skypismire 雪币： 75 活跃值： (883) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 3 关注私信	skypismire 1 6 楼楼主真棒，又有了个学习好帖 2010-3-15 00:02 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 7 楼看了下感染部分，其实修复并不难。 2010-3-15 01:07 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 8 楼 IDA的话，从入口看，动态和静态配合，来回几次，就行了！ 2010-3-15 01:08 0
chhzh 雪币： 324 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 0 关注私信	chhzh 9 楼分析！学习一下 2010-3-15 09:05 0
梦旅人雪币： 119 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	梦旅人 10 楼这个首先要汇编学好，再掌握一些windows编程技术。最开始分析的时候一般都觉得无从下手，但是俗话说的好万事开头难，渡过第一关就轻松多了。最开始就找一个简单点的病毒木马从头看到尾，每个函数都看一下，分析一个以后就知道怎么做了，不信可以试试 2010-3-15 09:44 0
梦旅人雪币： 119 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	梦旅人 11 楼 5楼，6楼两位兄弟真是过奖了，其实还有些功能都没分析，比如说生成的驱动，感染后的行为，这几天有点忙这些都没分析呵呵~ 2010-3-15 09:46 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 12 楼这么x的超级无敌大拼盘 lz真是辛苦啦 2010-3-15 10:09 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 13 楼那个SYS能结束那么多AV？倒是值得研究。。刚把附件下载下来，就被我的AV给干掉了。。。。 2010-3-15 10:49 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 14 楼分析的不错，比我们的病毒报告详细~ 用楼主提供的样本，简单看了2个小时，只看到一半的行为，感染和局域网传播还没看到等会儿再好好看看 2010-3-15 14:10 0
snakeas 雪币： 39 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 89 粉丝 0 关注私信	snakeas 15 楼好文章留着以后看菜鸟崛起的时代 ^_^ 2010-3-15 17:22 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 16 楼好文章。不过LZ是怎么看这个程序是如何破解驱动和生成新驱动的呢？ 2010-3-15 18:58 0
梦旅人雪币： 119 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	梦旅人 17 楼生成驱动就是用LoadResource从自身获取的，不过驱动部分我没怎么看，有兴趣的话可以研究下呵呵~ 2010-3-16 10:31 0
youye 雪币： 1600 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	youye 18 楼 text:004052D6 loc_4052D6: ; CODE XREF: .text:004052D6 push 0 ; lpOverlapped .text:004052D8 lea eax, [ebp+BytesReturned] .text:004052DB push eax ; lpBytesReturned .text:004052DC push 0 ; nOutBufferSize .text:004052DE push 0 ; lpOutBuffer .text:004052E0 push 4 ; nInBufferSize .text:004052E2 lea eax, [ebp+InBuffer] .text:004052E5 push eax ; lpInBuffer .text:004052E6 push 222264h ; dwIoControlCode .text:004052EB push [ebp+hDevice] ; hDevice .text:004052EE call ds:DeviceIoControl ; 发送IRP吗终止杀毒软件这个是亮点。。。。难道病毒作者一个个逆出来的？？ 2010-3-16 12:33 0
olydbg 雪币： 124 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 66 粉丝 0 关注私信	olydbg 1 19 楼 mark 一下 2010-3-16 15:12 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 20 楼对于编写木马与病毒的人，十分厌恶！仗着有点知识就搞破坏，不学好啊！ 2010-3-16 19:31 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 21 楼但是反病毒公司很喜欢这类人，没有他们，又哪来钱赚呢 2010-3-16 20:09 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 22 楼支持一下。挺好的，加油。 2010-3-16 20:56 0
kinglord 雪币： 558 活跃值： (141) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 23 楼经典详细，堪称极品 2010-3-16 22:29 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 24 楼破坏安全模式，结束杀毒软件，下载木马，感染指定类型的文件，感染可移动磁盘，攻击局域网用户真无耻啊.... 2010-3-16 22:44 0
ForSence 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	ForSence 25 楼谢谢楼主共享这么多杀软的进程名字!!!!正好需要!!!!得来全不费工夫 2010-3-16 23:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

梦旅人

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
linzehao 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	linzehao 2 楼膜拜。。。慢慢看。。 2010-3-14 17:57 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 3 楼 support!我今天一天都在玩木马，呵呵 2010-3-14 19:25 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 4 楼 LZ能大概说一下怎么个分析思路么？我拿到东西往往无从下手... 2010-3-14 22:41 0
deppcyan 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	deppcyan 5 楼分析的很详细 2010-3-14 23:36 0
skypismire 雪币： 75 活跃值： (883) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 3 关注私信	skypismire 1 6 楼楼主真棒，又有了个学习好帖 2010-3-15 00:02 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 7 楼看了下感染部分，其实修复并不难。 2010-3-15 01:07 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 8 楼 IDA的话，从入口看，动态和静态配合，来回几次，就行了！ 2010-3-15 01:08 0
chhzh 雪币： 324 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 0 关注私信	chhzh 9 楼分析！学习一下 2010-3-15 09:05 0
梦旅人雪币： 119 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	梦旅人 10 楼这个首先要汇编学好，再掌握一些windows编程技术。最开始分析的时候一般都觉得无从下手，但是俗话说的好万事开头难，渡过第一关就轻松多了。最开始就找一个简单点的病毒木马从头看到尾，每个函数都看一下，分析一个以后就知道怎么做了，不信可以试试 2010-3-15 09:44 0
梦旅人雪币： 119 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	梦旅人 11 楼 5楼，6楼两位兄弟真是过奖了，其实还有些功能都没分析，比如说生成的驱动，感染后的行为，这几天有点忙这些都没分析呵呵~ 2010-3-15 09:46 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 12 楼这么x的超级无敌大拼盘 lz真是辛苦啦 2010-3-15 10:09 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 13 楼那个SYS能结束那么多AV？倒是值得研究。。刚把附件下载下来，就被我的AV给干掉了。。。。 2010-3-15 10:49 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 14 楼分析的不错，比我们的病毒报告详细~ 用楼主提供的样本，简单看了2个小时，只看到一半的行为，感染和局域网传播还没看到等会儿再好好看看 2010-3-15 14:10 0
snakeas 雪币： 39 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 89 粉丝 0 关注私信	snakeas 15 楼好文章留着以后看菜鸟崛起的时代 ^_^ 2010-3-15 17:22 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 16 楼好文章。不过LZ是怎么看这个程序是如何破解驱动和生成新驱动的呢？ 2010-3-15 18:58 0
梦旅人雪币： 119 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	梦旅人 17 楼生成驱动就是用LoadResource从自身获取的，不过驱动部分我没怎么看，有兴趣的话可以研究下呵呵~ 2010-3-16 10:31 0
youye 雪币： 1600 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	youye 18 楼 text:004052D6 loc_4052D6: ; CODE XREF: .text:004052D6 push 0 ; lpOverlapped .text:004052D8 lea eax, [ebp+BytesReturned] .text:004052DB push eax ; lpBytesReturned .text:004052DC push 0 ; nOutBufferSize .text:004052DE push 0 ; lpOutBuffer .text:004052E0 push 4 ; nInBufferSize .text:004052E2 lea eax, [ebp+InBuffer] .text:004052E5 push eax ; lpInBuffer .text:004052E6 push 222264h ; dwIoControlCode .text:004052EB push [ebp+hDevice] ; hDevice .text:004052EE call ds:DeviceIoControl ; 发送IRP吗终止杀毒软件这个是亮点。。。。难道病毒作者一个个逆出来的？？ 2010-3-16 12:33 0
olydbg 雪币： 124 活跃值： (43) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 66 粉丝 0 关注私信	olydbg 1 19 楼 mark 一下 2010-3-16 15:12 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 20 楼对于编写木马与病毒的人，十分厌恶！仗着有点知识就搞破坏，不学好啊！ 2010-3-16 19:31 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 21 楼但是反病毒公司很喜欢这类人，没有他们，又哪来钱赚呢 2010-3-16 20:09 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 22 楼支持一下。挺好的，加油。 2010-3-16 20:56 0
kinglord 雪币： 558 活跃值： (141) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 266 粉丝 0 关注私信	kinglord 23 楼经典详细，堪称极品 2010-3-16 22:29 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 24 楼破坏安全模式，结束杀毒软件，下载木马，感染指定类型的文件，感染可移动磁盘，攻击局域网用户真无耻啊.... 2010-3-16 22:44 0
ForSence 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	ForSence 25 楼谢谢楼主共享这么多杀软的进程名字!!!!正好需要!!!!得来全不费工夫 2010-3-16 23:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复