[原创]感染Win32.Agent.??之修复代码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]感染Win32.Agent.??之修复代码

发表于: 2010-8-4 16:00 12426

[原创]感染Win32.Agent.??之修复代码

triones

2010-8-4 16:00

12426

某的机器，前几日意外染毒，由于这几日在试用ZoneAlarm，对机器表现把握不准，连什么时候中毒都不知道。。。（在此先深切怀念一下我用了七年多的PFW，可怜了我抠抠索索出钱买的正版序列号:(　现在搞得有正版序列号还得用试用版T_T）。
直到突然发现机器表现有一些异常了，一刷autoruns，Image Hijacks一大堆！果然中毒了！
我对中毒过敏，立刻还原系统。还原后，新装个驱动，再刷autoruns，啊！又来了！
分区根目录下并没有autoruns.inf之类的触发。难道是感染型病毒？！
我在每个分区下都放了一个小EXE，当蜜罐使。结果一看，原本4.5K的变30.5K了，果然是感染了。可是我的驱动是压缩包里的啊，这*毒，连压缩包也不放过！！
完蛋完蛋，我长时间来收集一些软件啊程序啊啥的，看来要废了，我要撞墙了！！
不甘心啊不甘心。
那就看看有没有专杀吧，给个样本让别人用杀软看看是什么毒，结果查出来叫Win32.Agent.??（后面叫什么，忘记了），上网查有没有专杀工具，结果都没有。全是要装杀软。俺与杀软有不共戴天之仇

，如何也不会装。而且杀软那些技俩俺也领教过，但凡感染的文件，一律做删除处理，根本不会恢复它。

看来，得自己动手试试。
看看这个感染复不复杂吧？原PE与感染PE一对比，加之早早分析了一下，发现如下几点：
1.新加一个节区，名字是.tc。
2.PE入口被修改，指向新加节区头。
3.区段数目+1，映像大小修改，代码块大小修改
仅这些特征，看来有恢复的希望。

于是有了之后的修复代码。其实修复手段很简单了，就是把感染过程反着做就行了嘛。
不过代码里有加了压缩包的处理（加解压我并不熟悉，全是临时学习WinRAR命令行的处理。测试的过程中，可能是系统设置问题，发现解压恢复后，空文件夹无法删除。不过无伤大雅了）

这里先给一下被感染PE的入口情况：

00408000 hget.<ModuleEntryPoint>      64:8B3D 30000000           mov     edi, dword ptr fs:[30]
00408007                              8B7F 0C                    mov     edi, dword ptr [edi+C]
0040800A                              8B7F 1C                    mov     edi, dword ptr [edi+1C]
0040800D                              8B3F                       mov     edi, dword ptr [edi]
0040800F                              8B7F 08                    mov     edi, dword ptr [edi+8]
00408012                              E8 00000000                call    hget.00408017
00408017                              5B                         pop     ebx
00408018                              81EB 17104000              sub     ebx, hget.00401017
0040801E                              89BB DC114000              mov     dword ptr [ebx+4011DC], edi
00408024                              8BF7                       mov     esi, edi
00408026                              0376 3C                    add     esi, dword ptr [esi+3C]
00408029                              8B76 78                    mov     esi, dword ptr [esi+78]
0040802C                              03F7                       add     esi, edi
0040802E                              56                         push    esi
0040802F                              8B6E 18                    mov     ebp, dword ptr [esi+18]
00408032                              8B76 20                    mov     esi, dword ptr [esi+20]
00408035                              03F7                       add     esi, edi
00408037                              33D2                       xor     edx, edx
00408039                              56                         push    esi
0040803A                              8B3E                       mov     edi, dword ptr [esi]
0040803C                              03BB DC114000              add     edi, dword ptr [ebx+4011DC]
00408042                              8DB3 9E114000              lea     esi, dword ptr [ebx+40119E]
00408048                              B9 0F000000                mov     ecx, 0F
0040804D                              F3:A6                      repe    cmps byte ptr es:[edi], byte ptr [es>
0040804F                              75 06                      jnz     short hget.00408057
00408051                              5E                         pop     esi
00408052                              8BD6                       mov     edx, esi
00408054                              5E                         pop     esi
00408055                              EB 12                      jmp     short hget.00408069
00408057                              5E                         pop     esi
00408058                              83C6 04                    add     esi, 4
0040805B                              42                         inc     edx
0040805C                              90                         nop
0040805D                              3BD5                       cmp     edx, ebp
0040805F                            ^ 72 D8                      jb      short hget.00408039
00408061                              83EC 04                    sub     esp, 4
00408064                              E9 18010000                jmp     hget.00408181		;这里有一个跳转，硬编码


00408181                            - E9 0AE5FFFF                jmp     hget.00406690		;这里跳向原OEP

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・5

免费・7

支持

最新回复 (12)
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 2 楼好可怜的病毒，沙发 mark申精 2010-8-4 17:08 0
不死怨灵雪币： 54 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 166 粉丝 0 关注私信	不死怨灵 3 楼分析的很精彩～～求样本！！ 2010-8-4 17:17 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 4 楼 LZ厉害.看来逆向与编程配合起来才能双剑合璧,所向披靡阿 2010-8-17 07:20 0
kanxue 雪币： 58782 活跃值： (21931) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 615 关注私信	kanxue 8 5 楼感谢分享，还记得triones写的花指令研究文章~ 2010-8-17 09:25 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 679 粉丝 1 关注私信	pencil 5 6 楼站位观看，代码很好看 2010-8-17 10:51 0
wangshen 雪币： 172 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 0 关注私信	wangshen 7 楼学习。。感谢LZ分享。。 2010-8-18 02:22 0
caozhihua 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	caozhihua 8 楼微点CMT病毒专杀工具是针对这个病毒及其变种的，可以试一下！ 2010-8-19 22:32 0
caozhihua 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	caozhihua 9 楼 9a6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8G2L8$3I4K6i4K6u0W2L8h3W2U0M7X3!0H3L8$3W2F1N6q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1 2010-8-19 22:33 0
cnnets 雪币： 465 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 10 楼晕啊，昨天主动中了这个病毒，硬盘上所有exe文件都感染了，每个EXE文件都大了，但文件时间没变。楼主能贴个编译好的执行文件上来吗？ 2010-9-29 01:04 0
wumingpeng 雪币： 540 活跃值： (348) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 43 粉丝 2 关注私信	wumingpeng 1 11 楼楼主那个mkl怎么没贴出来啊 2010-11-10 16:47 0
ddssaa 雪币： 153 活跃值： (426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	ddssaa 12 楼 xxx的中了此病毒发个编译好的来使下啊用的什么编译环境版本说下 2012-3-2 15:46 0
才情岁月雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	才情岁月 13 楼很不错的文章，谢谢楼主分享！ 2012-4-1 11:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

triones

发帖

158

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 2 楼好可怜的病毒，沙发 mark申精 2010-8-4 17:08 0
不死怨灵雪币： 54 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 166 粉丝 0 关注私信	不死怨灵 3 楼分析的很精彩～～求样本！！ 2010-8-4 17:17 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 4 楼 LZ厉害.看来逆向与编程配合起来才能双剑合璧,所向披靡阿 2010-8-17 07:20 0
kanxue 雪币： 58782 活跃值： (21931) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 615 关注私信	kanxue 8 5 楼感谢分享，还记得triones写的花指令研究文章~ 2010-8-17 09:25 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 679 粉丝 1 关注私信	pencil 5 6 楼站位观看，代码很好看 2010-8-17 10:51 0
wangshen 雪币： 172 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 0 关注私信	wangshen 7 楼学习。。感谢LZ分享。。 2010-8-18 02:22 0
caozhihua 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	caozhihua 8 楼微点CMT病毒专杀工具是针对这个病毒及其变种的，可以试一下！ 2010-8-19 22:32 0
caozhihua 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	caozhihua 9 楼 9a6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8G2L8$3I4K6i4K6u0W2L8h3W2U0M7X3!0H3L8$3W2F1N6q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1 2010-8-19 22:33 0
cnnets 雪币： 465 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 10 楼晕啊，昨天主动中了这个病毒，硬盘上所有exe文件都感染了，每个EXE文件都大了，但文件时间没变。楼主能贴个编译好的执行文件上来吗？ 2010-9-29 01:04 0
wumingpeng 雪币： 540 活跃值： (348) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 43 粉丝 2 关注私信	wumingpeng 1 11 楼楼主那个mkl怎么没贴出来啊 2010-11-10 16:47 0
ddssaa 雪币： 153 活跃值： (426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	ddssaa 12 楼 xxx的中了此病毒发个编译好的来使下啊用的什么编译环境版本说下 2012-3-2 15:46 0
才情岁月雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	才情岁月 13 楼很不错的文章，谢谢楼主分享！ 2012-4-1 11:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复