麦洛克菲-逆向毒分析课程2.pptVIP

病毒变形过程剖析 – 差异点 病毒变形过程剖析 – 差异点 知道了被修改的数据后，一个常规思路就是 跟踪修改数据的变化： 0x552d6 –- 第一次搬移入口代码 0x41cbd0 --- 第二次搬移入口代码 病毒变形过程剖析 针对该实例，该方案可行吗？ 病毒变形过程剖析 下断点入口 病毒变形过程剖析 现在有3处入口点所在的代码 等待变化的过程出现… 病毒变形过程剖析 一块我们不知道的内存空间已经完整的生成了polycode 病毒变形过程剖析 失败 ！！！！！ 换思路 病毒变形过程剖析 从返回的函数地址向上推测. 病毒变形过程剖析 生成指令代码的开始 先填充0x800个垃圾数据 病毒变形过程剖析 1 偏移开头 (2048 - 2034) = 0x14 位置开始填充垃圾指令。 病毒变形过程剖析 1 例程代码 0040E2DF E8 E02FFFFF call unpack_erlocer //产生随机数据 0040E2E4 25 FFFF0000 and eax,0FFFF 0040E2E9 99 cdq 0040E2EA B9 FE000000 mov ecx,0FE 0040E2EF F7F9 idiv ecx 0040E2F7 889405 CCDFFFFF mov byte ptr ss:[polycode],dl //写入junk指令 病毒变形过程剖析 1 0x304da0c --- pushad 2 0x304da0d --- call（0xe8） 病毒变形过程剖析 004012C4 55 push ebp 004012C5 8BEC mov ebp,esp 004012C7 51 push ecx 004012C8 A1 6C904100 mov eax,dword ptr ds:[41906C] // 对应的值BEF54FDC 004012CD 69C0 354F7B01 imul eax,eax,17B4F35 004012D3 83C0 01 add eax,1 004012D6 8945 FC mov dword ptr ss:[ebp-4],eax 004012D9 8B4D FC mov ecx,dword ptr ss:[ebp-4] 004012DC 51 push ecx 004012DD 68 6C904100 push unpack_b.0041906C 004012E2 FF15 call dword ptr ds:[kernel32.InterlockedExchange] ; kernel32.InterlockedExchange 004012E8 8B45 FC mov eax,dword ptr ss:[ebp-4] 004012EB C1F8 10 sar eax,10 004012EE 25 FFFF0000 and eax,0FFFF 004012F3 25 FFFF0000 and eax,0FFFF 004012F8 8BE5 mov esp,ebp 004012FA 5D pop ebp 004012FB C3 retn Eax – 接收返回值 病毒变形过程剖析 在混乱的代码中插指令 不容易跟踪的情况下，对可能跟踪的数据下大片内存断点 病毒变形过程剖析---生成指令过程-每一次都不一样仅供参考 0304DA1D 03F2 add esi,edx 0304DA1F FECA dec dl 0304DA29 59 pop ecx 0304DA2A 2BD5 sub edx,ebp 0304DA34 /75 04 jnz short 0304DA3A 0304DA36 |31F2 xor edx,esi 0304DA38 |88F0 mov al