对某病毒的一次完全逆向分析之旅.pdfVIP

对某病毒的一次完全逆向分析之旅 作者：hackerlzc at 2013/07/01 目录 1 前言1 2 环境配置1 3 样本提取1 4 分析病毒Loader 3 5 提取被捆绑的dll 文件30 6 分析main_virus.dll 30 6.1 分析main_virus.dll 的框架结构31 6.2 分析DllMain31 6.3 分析Initiate 32 6.4 分析main_virus.dll 的感染部分33 6.4+ 变异代码生成算法43 6.5 分析main_virus.dll 的功能（后门）部分58 6.5.1 调试问题58 6.5.2 寻找关键代码58 6.5.3 分析通信协议61 6.5.4 编写后门利用程序62 总结63 1 前言 一次从网上下载了个rar 压缩包，双击之后winrar 直接崩溃。当时心想，自己是不是太 幸运了，竟然撞到了一个利用winrar 漏洞的POC。然而测试发现，即使不打开rar 文档，winrar 同样一启动就崩溃。可见，不是winrar 有漏洞。难道是由于前期对winrar 的patch 造成的？ 直接把备份的winrar 还原回去，“暂时”能用了。又过了几天，由于某种原因，需要用Chrome 浏览器，结果Chrome 浏览器启动即崩溃，再打开winrar 又崩溃„„这时，笔者开始怀疑是 不是中招了。结果用IDA 查了下Chrome 主程序的反汇编，入口点代码异常。可见，确实中 毒了，而且是PE 感染型病毒。笔者用的是win7 系统，一直稞奔。平时的安全性主要依赖 UAC 和“良好”的上网习惯. 。由于对UAC 的信任，料想病毒应该没有权限能够改写C:\Program Files 文件夹中的程序，被感染的规模应该不大。然而这次真是大错特错了。笔者的OD 一类 的工具在D 盘，用OD 调试一下OD 自身，结果更让人吃惊，OD 也被感染了！这下可麻烦 了，OD 运行需要管理员权限的，这样一来，病毒同样有管理员权限，所以除系统目录还有 点“特殊照顾”外，其它目录病毒都是可以改写的。试了试，结果证明推测是正确的。几乎 所有安装的程序被感染，所有其它盘里保存的安装包和各类程序同样无一幸免。无奈之余， 还是求助了一向鄙视的杀软，临时安装数字，扫了下，病毒数目有多少就不提了。花了好长 时间处理完了，C 盘的程序勉强恢复能用，然而其它盘里的程序多半处于残疾状态。因为不 是专杀，而且现在多数安装包带自校验，所以备份的安装包几乎全部报废。更要命的是自己 常用的工具箱根本没法处理。里边本来就是黑白不分，现在又有谁能识别清楚？一句话，损 失太大了！ 平时自己就去那么几个站点，上网习惯还算可以，这病毒到底是从哪儿来的呢？仔细回 想下，稍微有了些头绪。事发前些天笔者曾经从坛子里下载了个**黑客工具箱，打开一看是 用音速启动管理的。然而，这个音速启动界面竟然触发UAC，需要管理员权限。好奇心使笔 者当时没大注意这个，直接以管理员权限运行了。这应该是问题所在了。唉，好奇心真是害 人啊。这里也顺便提醒一下大家，一定要当心，别有用心的人大有人在，有几个真正在无私 奉献？笔者为了好奇心付出了惨重的代价，然而，能这么算了吗，血能白流吗？这病毒究竟 想干什么？怎么干的？又是出于对以上几个问题的好奇，经过一段时间地折腾，本文诞生了。 由于重点是逆向分析，练习逆向基本功，所以并未采用自动化分析工具。分析过程是自然式 的，流水账式的，这样能尽量还原现场的思路，以便于大家拍砖。这是笔者第一次深入分析 病毒，过程中难免会出现低智商问题，期待和大家一起交流进步，期待拍砖！ 2 环境配置 反汇编：IDA 6.1 调试器：OD 1.1 调试环境：VMware + xp sp3 （避免ASLR 的干扰） 3 样本提取 附件中文件chrome.exe.virus 是被感染过的chrome 主程序。我们就从这个开始本次病毒 分析之旅吧。