吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5511|回复: 9
收起左侧

[PC样本分析] 震网~WTR4141.TMP分析

[复制链接]
flypuma 发表于 2014-12-24 10:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
前一段熟悉了用户态的API Hook,而震网采用用户态IATHook来实现文件隐藏,所以就拿来练练手,对其进行逆向分析,顺便学学其中的方法。为了躲避杀毒软件,~WTR4141.TMP入口函数首先将整个~WTR4141.TMP文件读入内存,内存中通过调用导出函数1跳转到DllGetClassObject,函数的Hook功能就在此部分完成,下面主要对其进行分析。整个函数的结构如下图所示: QQ截图20141224094947.png

函数sub_10002340加载4132.tmp(病毒主dll),然后解析,完成病毒文件更新。函数sub_100019A0完成Hook功能。从函数中我们可以看到主要Hook了FindFirstFileW、FindNextFileW、FindFirstFileExW、NtQueryDirectoryFile、ZwQueryDirectoryFile这5个函数
IATHook实现如下
1.png
PE+78H就是PEIMAGE_DATA_DIRECTORY[0],也就是V4的值
78H:输出表
V11:导出表地址
V5:导出表名称
V10:导出表中成员个数
v9 = v4 + a1 + 0x24
V9:导出表序列号数组
3.png
遍历导出表的导出名称表,与要Hook的函数名称进行比较
4.png
  v7 = *(v6 + a2 + 12);
  v8 = a2 + v6;
  v9 = *(v8 + 16);
  v10 = (a2 + v7);
  v11 = (v9 + a2);

  v12 = *v8 + a2;
V9:导入地址表(IAT)的RVA       V11:导入地址表
V8dll的导入名称表(INT)的RVA  V12:导入名称表地址
V7DLL导入表映像文件的名字RVA  V10dll名称
if (!lstrcmpiA(lpString1, v10) )
{
    v13 = *v12;
    v14 = *v12 < 0;
}
找到DLL所在的名称表,保存为v12v13
接着通过DLL的名称表找到HookApi对应的地址
7.png
DLL中找到HookDll后,直接将其值修改为自己要执行的API a5

*v11 = a5

免费评分

参与人数 1威望 +1 收起 理由
Hmily + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

我是坏人 发表于 2014-12-24 10:18
很高大上的样子呢
liuning670 发表于 2014-12-24 10:13
头像被屏蔽
yyz219 发表于 2014-12-24 12:07
xujiajay 发表于 2015-3-19 10:36
这个我得收藏了,很有用的说
Jasonisgoodboy 发表于 2015-3-23 09:53
样本不能共享一下吗
 楼主| flypuma 发表于 2015-3-24 10:41
Jasonisgoodboy 发表于 2015-3-23 09:53
样本不能共享一下吗

去csdn上搜一下,上面有
Jasonisgoodboy 发表于 2015-3-24 16:26
flypuma 发表于 2015-3-24 10:41
去csdn上搜一下,上面有

Thanks!!!!!!
xujiajay 发表于 2015-3-26 09:10
flypuma 发表于 2015-3-24 10:41
去csdn上搜一下,上面有

感谢,马上去看看
头像被屏蔽
jaysean 发表于 2015-3-30 12:10
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表