内容及其行为分析
被感染后
加入
个.WIN节入口点指向其中最前面0C5
内容是“数据区”其中可明显看出有意义部分包括以下内容(以下地址为相对.WIN节头偏移):************************************************************************************
1. 预留空间保存变量(在被感染
运行时先运行代码会向这部分写入数据)+00H urlmon
基址+04H GetProcAddress
地址+08H LoadLibraryA
地址+0CH FreeLibrary
地址+10H ExitProcess
地址+14H GetModuleHandleA
地址+18H URLDownloadToFileA
地址+1CH WinExec
地址2. 用到
串常量:+20H "LoadLibraryA",0
+2DH "FreeLibrary",0
+39H "ExitProcess",0
+45H "GetModuleHandleA",0
+56H "WinExec",0
+5FH "urlmon",0
+66H "URLDownloadToFileA",0
+79H "http://ttt.wokaon.cn/
.exe",0+97H "c:\Program Files\Common Files\WIN.exe",0
……………………
3. 保存
原基址和入口点代码执行后读取这里并跳回原入口点执行
要修复被感染文件也要知道这两个值:+BDH
原ImageBase+C1H
原AddressOfEntryPo
************************************************************************************
+C5H开始
将是加入代码(病毒主文件内存中13152BF8到13152D88内容)我直接在病毒主文件里面看了
OD里反汇编分析了下大致如下:13152C04是入口
************************************************************************************
13152BFD 58 pop eax ; pop得到EIP
即此句代码位置13152BFE 83E8 05 sub eax, 5 ; call代码
位置13152C01 C3 retn
13152C02 8BC0 mov eax, eax
13152C04 55 push ebp ; 入口
13152C05 8BEC mov ebp, esp
13152C07 83C4 EC add esp, -14
13152C0A 53
最新评论