css.exe逆向分析.docVIP

css.exe逆向分析 int __stdcall sub_100637A(HMODULE a1, int a2, const CHAR *a3, int a4){??if ( Init(a1, a3, a4) )??{? ? v4 = TorjanKernelFuc();? ? DeleteTmpDirectory(v5);? ?? ?? ?? ?? ?? ?? ?// - -病毒启动部分分析完毕、其实这只是一个外壳而已、做坏事的都是从CAB包里释放出来的垃圾??}} 分析量太多了、都贴上来我就要抓狂了、而且上色也是个问题、所以各位自己欣赏附件里的idb吧……idb分析的很详细、而且部分函数有MSDN解释~- -通过程序内部对资源段的配置信息读取可以很明确的确认这个病毒是一个由木马生成器产生的病毒、- -很羡慕那种编译模式啊、就是XP的记事本的编译模式、我咋整都整不出来……囧、话说其实我怀疑主程序是生成自解压包那种程序做出来的、囧……- -病毒启动部分分析完毕、其实这只是一个外壳而已、做坏事的都是从CAB包里释放出来的垃圾0006FE20? ?01014C88??ASCII MSCF一点点关于idb里函数的说明：s_strnXXX系列函数就是多一个\\这个玩艺释放出来的js2.exe负责创建僵尸进程services.exe然后安装服务、启动。僵尸进程自然是不好调试、我们要做点手脚、把它的入口OOXX一下首先我们要了解401730这个线程负责初始化程序IAT、所以去执行核心前必须先用它初始化一些必要的函数00401E90这个函数就是401730这个线程里唯一有用的东西第二点就是程序的核心函数，可以在主线程WndProc的401B00里找到，就是401910这个线程所以我们的新入口代码也就构建好了call 00401E90jmp 401910把这两句覆盖到入口、这样就可以在虚拟机里方便的调试病毒核心了这里笔记一点关于js2的调试记录 004019FC??call? ? 004018F000401A01??add? ???esp, 400401A04??inc? ???esi00401A05??push? ? esi00401A06??call? ? DecodeProc00401A0B??mov? ???esi, eax00401A0D??add? ???esp, 400401A10??test? ? esi, esi00401A12??jnz? ???short 00401A1E00401A14??push? ? -200401A16??call? ? 004018F000401A1B??add? ???esp, 400401A1E??mov? ???eax, dword ptr [404400]00401A23??push? ? eax00401A24??push? ? ?? ?? ?? ?? ?? ?;??ASCII WCCCRXcIKDfnxnQyYmJydDgmd6LzEmGQ==00401A29??push? ? esi00401A2A??call? ? InitString00401A2F??add? ???esp, 400401A32??push? ? eax00401A33??push? ? edi00401A34??call? ? InitString? ?? ?? ?? ???;??服务的说明字符串00401A39??add? ???esp, 400401A3C??push? ? eax00401A3D??call? ? ?? ?? ?? ?? ?? ?;??创建服务，启动服务、分析到此结束。 剩下的就是那个远程控制Dll的分析启动的新服务行为：键盘记录、屏幕捕捉、剪贴板读取/设置、屏幕控制、……基本上没有什么新意、网上应该能找到很多类似于这些功能的代码吧……- -我就偷个懒，这里就不分析了……好了、本木马分析到此结束。附件里是病毒释放出的所有文件还有idb分析文件，附带一张IDA生成的核心Dll的流程图，请用wingraph32打开。另外病毒样本源自这里/thread-59402-1-1.html最后贴一点在VirusTotal上的扫描结果…… File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last