回到shellcode 剩下的部分,我们只分析到了CreateThread用于创建了一个功能线程,接下来分析后面的操作 首先会调用GetTempPath获取临时目录,接着调用CopyFile将病毒文件复制到临时目录中,之后对病毒副本进行非常复杂的 PE 操作,创建文件映射,移动节区数据,对该副本进行 PE 魔改,相当于将样本中的恶意代码全部去除掉只剩下...
大多数开发其实是没有逆向能力的,他们往往对开发比较熟悉或者对产品架构比较了解,对病毒样本并不清楚,这个时候就需要专业的病毒分析人员了,由专业的病毒分析人员对样本进行详细分析,然后给出相应的解决方案,然后协助开发人员进行专杀工具的开发和测试,然后再根据病毒的特征提取相应的规则给引擎开发人员,增加新的特征,从而...
该勒索病毒不仅会加密当前系统中的文件,还会加密当前系统中映射的磁盘等。 4.逆向分析 4.1 加密器逆向分析 4.1.1 初始化PRNG随机数对象(TLS函数实现) 从程序的TLS函数中可以看到有三个TLS函数 分别为sub_151000、sub_151026和sub_151072三个函数,该TLS回调函数作用就是分别调用这三个函数。 sub_151000函数:主要通...
解决方案: Nimda病毒不但发送染毒邮件,还会感染EXE文件。目前声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒,导致很多重要程序不能运行,甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法,不但可以清除染毒文件,还可清除内存中的病毒,确保杀毒之后系统正常运行。 对于单机版用户,瑞星公司的最新版本...
【收藏】10大常用恶意软件检测分析平台 一、VirSCAN:https://www.virscan.org VirSCAN.org 是一个非盈利性的免费为广大网友服务的网站,它通过多种不同厂家提供的最新版本的病毒检测引擎对您上传的可疑文件进行在线扫描,并可以立刻将检测结果显示出来,从而提供给您可疑程度的建议。
四、调试分析 由于其中有很多需要解密部分,所以这次动静结合分析。首先在IDA中,打开start函数: 这里有IsProcessorFeaturePresent反调试,直接用OD插件过掉: 一直走下去,函数sub_402A10是关键函数 前面是设置窗口属性,对部分杀软进行遍历强杀: 跟进sub_402190: ...
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马: 木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒: 病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染... 二...
分析PE文件结构,理解关键字段意义,掌握RVA、VA、FOA地址间转换;分析文件型病毒的原理;了解文件型病毒的发现方法,能利用OD等工具分析PE病毒,并通过手工方式进行病毒查杀;分析病毒专杀工具的基本设计方法。 系统环境及工具: WinSR虚拟机、病毒样本、OllyDBG、PE Explorer、UltraEdit32 ...
分享几个病毒分析检测网址 1、在线病毒分析网站: 以下网站上传样本后,很快就会在网页上出报告的: (1)这个网址报告格式很简洁,我很喜欢:http://camas.comodo.com/ (2)这个网址的报告最全面,而且会真的把传上去的样本跑一遍:http://anubis.iseclab.org/?action=home...
今天(也不是今天了,今天才发现的)查毒,发现电脑感染了Virus.Win32.Agent.P病毒,几乎我电脑中的exe被感染了个遍。我提取了一个病毒exe样本,在虚拟机里开始分析。 (碰到感染性病毒还是罕见,不过这也很好玩) 一、病毒行为 病毒会扫描电脑中的exe和rar文件,然后进行感染。exe就是修改oep,插入一段shellcode来引导主...