官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 新手学习 PracticalMalwareAnalysis lab15-01
返回列表 发新帖
查看: 3999|回复: 4
收起左侧

[PC样本分析] 新手学习 PracticalMalwareAnalysis lab15-01

[复制链接]
MaximeLionel
MaximeLionel 发表于 2022-5-4 18:09
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

静态数据

  • md5: 
    md5,96445ED6EBC49220D3FA9ACF5EB7F279
sha1,B49E42D62A46DCF2239871A51FF200047626C6D2
sha256,1120D5EE34D2CD4519EA551CD4C8B1544B9A5993ABA33774FFC854CEC34001E1
  • no packer - compiled by vc6.0

    IDA 分析

  • 打开后,发现很多反反汇编的特征代码: 
    .text:0040101F 33 C0                                       xor     eax, eax
.text:00401021 74 01                                       jz      short near ptr loc_401023+1
.text:00401023
.text:00401023                             loc_401023:                             ; CODE XREF: .text:00401021↑j
.text:00401023 E8 8B 45 0C 8B                              call    near ptr 8B4C55B3h
  • 使用D和C进行逐个修正,之后再用0x90把0xE8全部替换掉: 
    .text:0040101F 33 C0                                       xor     eax, eax
.text:00401021 74 01                                       jz      short loc_401024
.text:00401021                             ; ---------------------------------------------------------------------------
.text:00401023 E8                                          db 0E8h
.text:00401024                             ; ---------------------------------------------------------------------------
.text:00401024
.text:00401024                             loc_401024:                             ; CODE XREF: .text:00401021↑j
.text:00401024 8B 45 0C                                    mov     eax, [ebp+0Ch]
  • 修正好之后,使用P将这段代码在IDA里转换成一个函数,发现是main函数,后面就很简单了。
  • 后面就是匹配key,发现是'pdq',在测试环境下用命令行运行,出现good job的反馈。 
    .text:00401011                             loc_401011:                             ; CODE XREF: _main+E↑j
.text:00401011 010 8B 45 0C                                mov     eax, [ebp+arg_array]
.text:00401014 010 8B 48 04                                mov     ecx, [eax+4]    ; 2nd argument
.text:00401017 010 0F BE 11                                movsx   edx, byte ptr [ecx]
.text:0040101A 010 83 FA 70                                cmp     edx, 'p'        ; 1st byte of 2nd arg
.text:0040101D 010 75 3F                                   jnz     short not_2_argc
.text:0040101F 010 33 C0                                   xor     eax, eax
.text:00401021 010 74 01                                   jz      short loc_401024
.text:00401023 010 90                                      nop
.text:00401024
.text:00401024                             loc_401024:                             ; CODE XREF: _main+21↑j
.text:00401024 010 8B 45 0C                                mov     eax, [ebp+arg_array]
.text:00401027 010 8B 48 04                                mov     ecx, [eax+4]
.text:0040102A 010 0F BE 51 02                             movsx   edx, byte ptr [ecx+2]
.text:0040102E 010 83 FA 71                                cmp     edx, 'q'        ; 3rd byte of 2nd arg
.text:00401031 010 75 2B                                   jnz     short not_2_argc
.text:00401033 010 33 C0                                   xor     eax, eax
.text:00401035 010 74 01                                   jz      short loc_401038
.text:00401037 010 90                                      nop
.text:00401038
.text:00401038                             loc_401038:                             ; CODE XREF: _main+35↑j
.text:00401038 010 8B 45 0C                                mov     eax, [ebp+arg_array]
.text:0040103B 010 8B 48 04                                mov     ecx, [eax+4]
.text:0040103E 010 0F BE 51 01                             movsx   edx, byte ptr [ecx+1]
.text:00401042 010 83 FA 64                                cmp     edx, 'd'        ; 2nd byte of 2nd arg
.text:00401045 010 75 17                                   jnz     short not_2_argc
.text:00401047 010 33 C0                                   xor     eax, eax
.text:00401049 010 74 01                                   jz      short loc_40104C
.text:0040104B 010 90                                      nop

    总结

    该lab关键就是发现并处理反反汇编特征码,并进行修正。

免费评分

参与人数 2吾爱币 +6 热心值 +2 收起 理由
Hmily + 5 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
香芋 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

yuyi0
yuyi0 发表于 2022-5-5 11:07
棒棒哒,加油
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

冷眸b
冷眸b 发表于 2022-5-13 13:47
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
棒棒哒,加油
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

tan811008
tan811008 发表于 2022-5-14 06:18
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
学习了,谢谢分享!
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

hudiehua
hudiehua 发表于 2022-5-28 23:54

加油 棒棒哒
如何快速判断一个文件是否为病毒!
回复 支持

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:11

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表