Hezhi病毒是去年分析一个病毒,下面是分析报告,由于xxx原因杀毒程序不能公布(其实分析报告应该写得比较清楚了,哈)
写杀变形病毒的程序, 首先是要解决怎么查这个病毒(把病毒的变形引擎分析透彻一点,它怎么变你就怎么查),然后才是杀(好像是废话:))
hezhi病毒分析报告
haiwei/CVC.GB
关键字:
变形\病毒\感染\AntiDebug
分析工具:
OD(动态)\IDA(静态)
分析目标:
1.样本MD5值:a7be1177766cec09d7e914ea7985c723
2.病毒名称:Win32.Hezhi
难度:中
病毒简介:
1.这是一个基于poly技术的病毒,病毒代码经过五层加密,且key为动态的.
2.感染在宿主程序的节空隙,如果没有足够的空隙,则增加最后一节的节大小.
3.加密原宿主代码.
4.病毒代码中有多处SEH陷井来反动态调试
病毒执行流程:
1.第一次解密
004087D3 0F 84 87 EF FF FF jz near ptr loc_40775F+1
.text:004087D9 50 push eax
.text:004087DA E8 00 00 00 00 call $+5
.text:004087DF 58 pop eax
.text:004087E0 58 pop eax
.text:004087E1 BE 00 00 09 02 mov esi, 2090000h \\关键
.text:004087E6 50 push eax
.text:004087E7 13 C3 adc eax, ebx
.text:004087E9 1B C3 sbb eax, ebx
.text:004087EB 58 pop eax
.text:004087EC B8 0C 03 00 00 mov eax, 30Ch
.text:004087F1 57 push edi
.text:004087F2 F7 D7 not edi
.text:004087F4 0F 03 F8 lsl edi, eax
.text:004087F7 5F pop edi
.text:004087F8 81 C0 3A 2E 00 00 add eax, 2E3Ah
.text:004087FE 57 push edi
.text:004087FF F7 D7 not edi
.text:00408801 0F 03 F8 lsl edi, eax
.text:00408804 5F pop edi
.text:00408805 C1 C6 1D rol esi, 1Dh \\经过这条指令Esi为待解密代码的
\\起始地址
.text:00408808 51 push ecx
.text:00408809 81 C1 19 39 D0 DB add ecx, 0DBD03919h
.text:0040880F 59 pop ecx
.text:00408810
.text:00408810 loc_408810: ; CODE XREF: start+D0�j
.text:00408810 81 34 30 DA 0C 03 D2 xor dword ptr [eax+esi], 0D2030CDAh \\Key
.text:00408817 F5 cmc
.text:00408818 F5 cmc
.text:00408819 90 nop
.text:0040881A 90 nop
.text:0040881B 48 dec eax
.text:0040881C 50 push eax
.text:0040881D E8 00 00 00 00 call $+5
.text:00408822 58 pop eax
.text:00408823 58 pop eax
.text:00408824 7D EA jge short loc_408810 \\循环
.text:00408826 57 push edi
.text:00408827 F7 D7 not edi
.text:00408829 0F 03 F8 lsl edi, eax
.text:0040882C 5F &nb[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页 |
网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) 
