首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]一个病毒的分析
发表于: 2011-6-9 21:49 13508

[原创]一个病毒的分析

gtyre 活跃值
2011-6-9 21:49
13508 
   感染型病毒简单分析
ID:疯狂的小鬼(卡饭)
工具:OD
病毒自身就脱壳
样本地址:968K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7#2)9J5k6h3E0S2k6X3q4F1i4K6u0W2j5$3&6Q4x3V1k6X3L8%4u0#2L8g2)9J5k6i4m8Z5M7q4)9K6c8X3#2G2k6q4)9K6c8s2u0W2k6r3W2J5k6h3y4@1i4K6t1$3k6$3!0@1L8#2)9K6c8r3k6A6L8X3c8H3L8%4y4@1i4K6t1$3M7s2c8A6k6q4)9K6c8o6V1&6y4U0f1I4y4g2)9J5y4Y4m8A6k6q4)9K6c8o6p5&6y4e0t1I4y4e0t1&6i4K6t1$3k6Y4u0G2L8i4g2A6k6q4)9K6c8o6f1#2x3K6t1%4y4#2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1g2r3i4@1u0o6i4K6R3^5y4o6k6Q4c8e0k6Q4b7e0g2Q4b7V1y4Q4c8f1k6Q4b7V1y4Q4z5o6V1`.
00429E5E >  55              push ebp                                 ; 入口

00429EC0   /75 08           jnz short VideoPlu.00429ECA   为了分析。不让他跳

00429EC4    E8 B0000000     call VideoPlu.00429F79    F7 进去看看

00429F79    833D 10234300 0>cmp dword ptr ds:[0x432310],0x1
00429F80    75 05           jnz short VideoPlu.00429F87
00429F82    E8 890B0000     call VideoPlu.0042AB10
00429F87    FF7424 04       push dword ptr ss:[esp+0x4]
00429F8B    E8 B90B0000     call VideoPlu.0042AB49
00429F90    59              pop ecx
00429F91    68 FF000000     push 0xFF                                ; 下面退出进程
00429F96    FF15 34D04200   call dword ptr ds:[<&KERNEL32.ExitProces>; kernel32.ExitProcess
00429F9C    C3              retn

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (16)
dkxzl
雪    币: 287
活跃值: (618)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
2
顶楼主
2011-6-9 22:30
0
gtyre
雪    币: 228
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
不给点意见?
2011-6-9 22:49
0
邓韬
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
4
顶起,btw:EXE or Dll ?
2011-6-10 13:50
0
dangliang
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
开始的那几个“不让跳”亮了……希望指出跳转的条件。
2011-6-10 13:56
0
chenjunhui
雪    币: 147
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
很好的分析,谢谢
2011-6-10 14:32
0
gtyre
雪    币: 228
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
意思是要跳吗?
2011-6-10 16:49
0
雪yaojun
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
搞不清楚哥们你分析出啥内容了!!!!

再接再厉
2011-6-11 19:46
0
zkaini
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
参观!!!!!
2011-6-11 22:19
0
gtyre
雪    币: 228
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
10

指点下呗。
觉得我哪里不对了。。
2011-6-12 11:09
0
雪yaojun
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
如果是感染的话,至少要说明是如何感染,添加区段,修改入口???

生成lpk or usp 补丁自动注入??

病毒有哪些危害?如果防范!!

我感觉这篇像是在解释API一样。只是个人看法,没有恶意。。。
2011-6-12 13:26
0
DMemory
雪    币: 5555
活跃值: (3393)
能力值: ( LV10,RANK:175 )
在线值:
发帖
回帖
粉丝
私信
12
这个病毒的亮点是什么,
这个病毒生命周期如何保证的?就是怎么自启动等等……
2011-6-13 10:06
0
gtyre
雪    币: 228
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
13
有这样的例子吗?你有吗。。我想看看。。。
2011-6-13 15:41
0
xiaoshut
雪    币: 227
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
这个病毒是做什么的?
2011-6-15 15:19
0
anydoer
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
对啊,感染图标又有什么用?
2011-6-16 00:52
0
mmwwee
雪    币: 306
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
恩 很好的实例,学习了!
2011-6-16 17:01
0
Ack麦子
雪    币: 248
活跃值: (663)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
老猫? 难道你是老猫?
2011-6-17 15:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回