一次从网上下载了个rar压缩包,双击之后winrar直接崩溃。当时心想,自己是不是太幸运了,竟然撞到
了一个利用winrar漏洞的POC。然而测试发现,即使不打开rar文档,winrar同样一启动就崩溃。可见,不是winrar有漏洞。难道是由于前
期对winrar的patch造成的?直接把备份的winrar还原回去,“暂时”能用了。又过了几天,由于某种原因,需要用Chrome浏览器,结果
Chrome浏览器启动即崩溃,再打开winrar又崩溃„„这时,笔者开始怀疑是不是中招了。结果用IDA查了下Chrome主程序的反汇编,入口点代
码异常。可见,确实中毒了,而且是PE感染型病毒。笔者用的是win7系统,一直稞奔。平时的安全性主要依赖UAC和“良好”的上网习惯.。由于对UAC
的信任,料想病毒应该没有权限能够改写C:Program Files文件夹中的程序,被感染的规模应该不大。然而这次真是大错特错了。笔者的OD一类
的工具在D盘,用OD调试一下OD自身,结果更让人吃惊,OD也被感染了!这下可麻烦了,OD运行需要管理员权限的,这样一来,病毒同样有管理员权限,所
以除系统目录还有点“特殊照顾”外,其它目录病毒都是可以改写的。试了试,结果证明推测是正确的。几乎所有安装的程序被感染,所有其它盘里保存的安装包和
各类程序同样无一幸免。无奈之余,还是求助了一向鄙视的杀软,临时安装数字,扫了下,病毒数目有多少就不提了。花了好长时间处理完了,C盘的程序勉强恢复
能用,然而其它盘里的程序多半处于残疾状态。因为不是专杀,而且现在多数安装包带自校验,所以备份的安装包几乎全部报废。更要命的是自己常用的工具箱根本
没法处理。里边本来就是黑白不分,现在又有谁能识别清楚?一句话,损失太大了!
平时自己就去那么几个站点,上网习惯还算可以,这病毒到底是从哪儿来的呢?仔细回想下,稍微有了些头绪。事发前些天笔者曾经从坛子里下载了个**
黑客工具箱,打开一看是用音速启动管理的。然而,这个音速启动界面竟然触发UAC,需要管理员权限。好奇心使笔者当时没大注意这个,直接以管理员权限运行
了。这应该是问题所在了。唉,好奇心真是害人啊。这里也顺便提醒一下大家,一定要当心,别有用心的人大有人在,有几个真正在无私奉献?笔者为了好奇心付出
了惨重的代价,然而,能这么算了吗,血能白流吗?这病毒究竟想干什么?怎么干的?又是出于对以上几个问题的好奇,经过一段时间地折腾,本文诞生了。
由于重点是逆向分析,练习逆向基本功,所以并未采用自动化分析工具。分析过程是自然式的,流水账式的,这样能尽量还原现场的思路,以便于大家拍砖。这是笔者第一次深入分析病毒,过程中难免会出现低智商问题,期待和大家一起交流进步,期待拍砖!
1前言 ..................................................................................... 1
2环境配置 ............................................................................... 1
3样本提取 ............................................................................... 1
4分析病毒Loader ..................................................................... 3
5提取被捆绑的dlll文件 ................................................................30
6分析main_virus.dll .................................................................30
6.1 分析main_virus.dll的框架结构 ..............................................31
6.2 分析DllMain ........................................................................31
6.3 分析Initiate ........................................................................32
6.4 分析main_virus.dll的感染部分 ..............................................33
6.4+ 变异代码生成算法 ...............................................................43
6.5分析main_virus.dll的功能(后门)部分 ....................................58
6.5.1 调试问题 ..........................................................................58
6.5.2寻找关键代码 ......................................................................58
6.5.3 分析通信协议 .....................................................................61
6.5.4 编写后门利用程序 .............................................................. 62
总结............................................................................................63
详细文档