被感染后加入个.WIN节入口点指向其中
最前面0C5内容是“数据区”其中可明显看出有意义部分包括以下内容(以下地址为相对.WIN节头偏移):
************************************************************************************
1. 预留空间保存变量(在被感染运行时先运行代码会向这部分写入数据)
+00H urlmon基址
+04H GetProcAddress地址
+08H LoadLibraryA地址
+0CH FreeLibrary地址
+10H ExitProcess地址
+14H GetModuleHandleA地址
+18H URLDownloadToFileA地址
+1CH WinExec地址
2. 用到串常量:
+20H "LoadLibraryA",0
+2DH "FreeLibrary",0
+39H "ExitProcess",0
+45H "GetModuleHandleA",0
+56H "WinExec",0
+5FH "urlmon",0
+66H "URLDownloadToFileA",0
+79H "http://ttt.wokaon.cn/.exe",0
+97H "c:\Program Files\Common Files\WIN.exe",0
……………………
3. 保存原基址和入口点代码执行后读取这里并跳回原入口点执行要修复被感染文件也要知道这两个值:
+BDH 原ImageBase
+C1H 原AddressOfEntryPo
************************************************************************************
+C5H开始将是加入代码(病毒主文件内存中13152BF8到13152D88内容)
我直接在病毒主文件里面看了OD里反汇编分析了下大致如下:
13152C04是入口
************************************************************************************
13152BFD 58 pop eax ; pop得到EIP即此句代码位置
13152BFE 83E8 05 sub eax, 5 ; call代码位置
13152C01 C3 retn
13152C02 8BC0 mov eax, eax
13152C04 55 push ebp ; 入口
13152C05 8BEC mov ebp, esp
13152C07 83C4 EC add esp, -14
13152C0A 53
最新评论