一个感染样本的简单分析byximoLSGpdf-吾爱破解.PDF

吾爱破解论坛 [LCG] [LSG] 立足软件安全和病毒分析最前端，丰富的技术版块交相辉映，由无数加密解密及反病毒爱好者共同维护，留给世界一抹值得百年回眸的惊 艳，沉淀百年来计算机应用之精华与优雅，信息线条与生活质感淡定交融，任岁月流转，低调而奢华的技术交流与研究却是亘古不变。 标题：一个感染样本的简单分析 作者：ximo 今天刚发现的，比较简单，于是就来简单分析下吧。 该感染样本很简单，新加了个区段放病毒执行代码，执行病毒代码，最后跳回原入口点来执行原文件。 下面就是感染后的代码的简单分析： .bs:007DC000 ; =============== S U B R O U T I N E ======================================= .bs:007DC000 .bs:007DC000 .bs:007DC000 public start .bs:007DC000 start proc near .bs:007DC000 .bs:007DC000 var_44 = dword ptr -44h .bs:007DC000 .bs:007DC000 call $+5 .bs:007DC005 pop ebx .bs:007DC006 sub ebx, (offset loc_401002+3) ; 经典的重定位代码 .bs:007DC006 ; ebx=3DB000，以此值作为相应的基址，来进行相关的计 算 .bs:007DC006 ; 在下面的获取各API 中会看到 .bs:007DC00C mov edi, [esp+0] ; 该处的ESP 值即为入口点的ESP 值 .bs:007DC00C ; 入口点的初始ESP 值是指向ExitThread 的 .bs:007DC00C ; 该样本正是利用这点，来暴力搜索来取得 kernel32.dll 的基址的 .bs:007DC00F and edi, 0FFFF0000h ; edi==7c810000 .bs:007DC00F ; 该值为开始搜索的地址 .bs:007DC015 .bs:007DC015 loc_7DC015: ; CODE XREF: start+38 j .bs:007DC015 cmp word ptr [edi], 5A4Dh ; 判断是否为“MZ”值，以次来判断是否是kernel32.dll 的头部 .bs:007DC015 ; 从而取得kernel32.dll 的地址 .bs:007DC01A jnz short loc_7DC02A ; 不是则跳 .bs:007DC01C mov esi, edi ; ESI==EDI==GetModuleHandle(kernel32.dll) .bs:007DC01C ; 也就是kernel32.dll 的基址 .bs:007DC0