【逆向】Delphi程序逆向之熊猫烧香病毒分析

最新推荐文章于 2024-05-16 10:03:41 发布
最新推荐文章于 2024-05-16 10:03:41 发布
阅读量1.2k 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/SunsetR/p/11358388.html
版权

1、前言

本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程。

2、分析技巧

2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD。

2.2 IDA加载Delphi程序后,根据实际情况修改编译器选项,ASCII字符串风格,增加代码可读性。

2.3 IDA添加Delphi程序签名文件,识别常用系统函数调用。

2.4 由于IDR对Delphi库函数的识别率比IDA高,动态调试时,可以配合OD/IDA一起使用。

2.5 常用Delphi系统库函数,可以查看Delphi system文件,也可以参考文末参考链接。

2.6 Delphi程序,使用fastcall调用约定,前2个参数使用eax,edx传递,其余参数从左到右依次压栈,堆栈由被调用者恢复。(由于编译器不同,寄存器,压栈顺序可能不同,视具体情况而定)

1 004529A9    push       dword ptr ds:[455C00];   //参数3:"Hello"
2 004529AF    push       452A18; ' '              //参数4:" "
3 004529B4    push       dword ptr ds:[455C04];   //参数5:"World"
4 004529BA    lea        eax,[ebp-4]              //参数1
5 004529BD    mov        edx,3                    //参数2
6 004529C2    call       @LStrCatN                LStrCatN(lpBuff,3,"Hello"," ","World")

3、分析流程

3.1 流程图

3.2 静态分析

3.2.1 分析导入表

 1 文件:
 2     0x0000       "CreateFileA"
 3     0x0000       "WriteFile"
 4     0x0000       "ReadFile"
 5     0x0000       "FindNextFileA"
 6 网络:
 7     0x0000       "socket"
 8     0x0000       "connect"
 9     0x0000       "InternetReadFile"
10     0x0000       "InternetOpenUrlA"
11 服务:
12     0x0000       "OpenServiceA"
13     0x0000       "OpenSCManagerA"
14     0x0000       "DeleteService"
15     0x0000       "ControlService"
16     0x0000       "CloseServiceHandle"
17 进线程:
18     0x0000       "CreateThread"
19     0x0000       "TerminateProcess"
20     0x0000       "WinExec"
21 注册表:
22     0x0000       "RegSetValueExA"
23     0x0000       "RegDeleteValueA"
24     0x0000       "RegCreateKeyExA"
25 其它:
26     0x0000       "SetTimer"
27     0x0000       "NetRemoteTOD"
28     0x0000       "NetScheduleJobAdd"
29     0x0000       "URLDownloadToFileA"
30     0x0000       "OpenProcessToken"
31     0x0000       "LookupPrivilegeValueA"
32     0x0000       "AdjustTokenPrivileges"
33     0x0000       "WNetAddConnection2A"
34     0x0000       "WNetCancelConnectionA"

3.3 动态分析

3.3.1 初始化自校验

3.3.2 主功能模块1:自拷贝,bat自删除

判断当前路径是否存在ini配置文件,存在则删除

如果当前文件未被感染,并且不是"drivers\spcolsv.exe",则自拷贝并运行

如果是被感染的文件,则从自身释放原文件,创建.bat删除感染文件,运行原文件后自删除

如果"drivers\spcolsv.exe"正在运行则程序退出,否则删除"drivers\spcolsv.exe"后重新创建,并运行。

3.3.3 主功能模块2:

递归遍历,感染Exe等文件

递归遍历,感染Html等文件

删除.GHO系统备份文件

在每个文件夹目录下生成ini配置文件,更新当前日期

设置定时器,每6秒执行一次,在磁盘根目录生成setup.exe和autorun.inf文件

创建线程,通过139,445端口感染局域网主机。

自拷贝到网络主机共享目录,创建计划任务执行“GameSetup.exe”

3.3.4 主功能模块3:

创建定时器,执行不同任务

结束杀软,任务管理器等进程

设置Run注册表自启动

设置隐藏文件不显示

 

解密URL,下载并执行

删除共享

停止并删除杀软服务

 

Delphi常用库函数参考:

https://www.cnblogs.com/Little-Star/p/7541389.html

https://www.pediy.com/kssd/pediy06/pediy6843.htm

样本与调试文件下载:

https://files.cnblogs.com/files/SunsetR/熊猫烧香样本.zip 密码("SunsetBlogs")

转载于:https://www.cnblogs.com/SunsetR/p/11358388.html

bailing1370
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Delphi软件逆向记录
qq_35742456的博客
10-04 1142
然而,在ida中运行导出的idc脚本后,会发现很多函数虽然起始地址和结束地址是对的,但是内部的汇编代码全被误识别成了二进制的数据(如db dd dw)。居然是加了上古的ASPack壳,并且是Delphi编写的,维护这个软件的公司10年以内没有重构过了。从网上随便找了个脚本把ASPack的壳脱了,但是Delphi编译后乍看一片混乱,俗话说工欲善其事必先利其器,需要找一套合适的工具先还原一下符号信息。),把脱壳后的二进制文件直接拖到里面,软件会自动分析出是Delphi 7编写的。
第3篇 熊猫烧香逆向分析(上)
qq_55202378的博客
09-16 504
熊猫烧香 逆向分析
推荐开源项目:IDR - 交互式Delphi反编译器
最新发布
gitblog_00055的博客
05-16 423
推荐开源项目:IDR - 交互式Delphi反编译器 项目地址:https://gitcode.com/crypto2011/IDR 1、项目介绍 IDR(Interactive Delphi Reconstructor)是一个专用于Windows32环境的Delphi语言编写的可执行文件(EXE)和动态库(DLL)的反编译器。这个工具设计的主要目标是服务于开发反病毒软件的企业,同时也为那些希望找...
病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)
Gleam的专栏
11-18 3906
一、前言         上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为。应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解。   二、病毒功能分析
Dephi逆向工具Dede导出函数名MAP导入到IDA中
qq_20031585的博客
08-02 1346
Dephi逆向工具Dede导出函数名map导入到IDA中
fastcall调用约定详解(VC与Delphi
zhangmiaoping23的专栏
11-04 2734
fastcall调用约定 ?函数的前几个参数通过寄存器传递,其他参数通过堆栈. ?被调用函数清理堆栈 ?函数名修改规则同stdcall 其声明语法为:int fastcall function(int a,int b) VC中的fastcall. Add(1,2,3,4,5); 00417B83  push        5    00417B85  push
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDA和OD逆向分析(上)
热门推荐
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
广东省公共资源交易平台逆向分析
01-10
广东省公共资源交易平台逆向分析
Android逆向分析基础篇之格式篇.pdf
08-07
目录 Dalvik 虚拟机 •Dalvik 虚拟机介绍 ...•破解第一个程序 Dex和ODex文件格式 •Dex文件结构解析 •ODex文件结构解析 •另类APK破解方法 Smali文件格式 •Smali文件结构解析 •IDA Pro 破解实例
易语言逆向分析助手3.0
08-04
易语言逆向分析助手3.0
专业Delphi反编译工具(DeDeDark) 3.50.4 超强修改版.rar
05-28
Delphi反编译工具(DeDeDark) 3.50.4
专业反编译Delphi工具DeDeDark 无壳版
01-06
专业反编译delphi工具,专业反编译delphi工具-delphi professional anti-compiler tools, professional anti-compiler tool delphi
delphi excelApplication示例
12-30
procedure TForm1.btn7Click(Sender: TObject); var i,row,column:integer; begin Try ExcelApplication1.Connect; Except MessageDlg('Excel may not be installed',mtError, [mbOk], 0); Abort; End; ExcelApplication1.Visible[0]:=True; ExcelApplication1.Caption:='Excel Application'; ExcelApplication1.Workbooks.Add(Null,0); ExcelWorkbook1.ConnectTo(ExcelApplication1.Workbooks[1]); ExcelWorksheet1.ConnectTo(ExcelWorkbook1.Worksheets[1] as _Worksheet); Tabel1.Open; row:=1; While Not(Tabel1.Eof) do begin column:=1; for i:=1 to Tabel1.FieldCount do begin ExcelWorksheet1.Cells.Item[row,column]:=Tabel1.Fields[i-1].AsString; column:=column+1; end; Tabel1.Next; inc(row); end; End;
delphi反编译工具 IDR.zip
09-02
DELPHI程序的反编译,首选是DeDe,它反编译的代码,结构清晰,内部函数都标注出来了。但它的缺点就是不支持高版本的DELPHI。对付高版本的DELPHI,就得用IDR了。IDR反编译的结果和DeDe其实一样,只是对于一些内部的函数及变量,标识的没有DeDe那样清晰。对于熟悉DELPHI的人或者经验比较丰富的,用IDR可能更快捷。对于初学者,还是从DeDe入手为好。
delphi反编译工具 IDR (Interactive Delphi Reconstructor)
10-31
delphi反编译工具 IDR (Interactive Delphi Reconstructor)
逆向分析技术查看数据123
01-17
有关逆向的文件
Delphi工具—反编译Delphi(二)
eagletian的专栏
12-26 6631
第二节 Delphi反向工程      目前 ,Borland没有提供任何产品用于反编译可执行(.exe)文件或“Delphi 编译文件”(.dcu)为原始的程序代码(.pas)。      Delphi编译单元:DCU(Delphi compiled unit: DCU)      当一个Delphi工程被编译或运行时,一个编译单元(.dcu)文件便产生了。默认情况下,每个单元的编译
cdecl、stdcall、fastcall、declspec 、extern "c"
limenglandon的专栏
01-29 1398
首先这三个修饰符是c和c++调用约定 调用约定(Calling convention)决定以下内容:函数参数的压栈顺序,由调用者还是被调用者把参数弹出栈,以及产生函数修饰名的方法。MFC支持以下调用约定:      __cdecl,__stdcal和__fastcalll都是函数调用规范,规定了参数出入栈的顺序和方法,如果只用VC编程的话可以不用关心,但是要在C++和Pascal等其他语言
通过逆向分析可以分析到应用程序的那些
05-25
通过逆向分析可以分析到应用程序的代码、算法、数据结构、加密方式、API调用等信息。具体来说,逆向分析可以帮助分析者理解程序的内部运行逻辑和数据处理过程,了解程序的结构和功能,发现可能存在的漏洞和安全问题,甚至可以修改程序的行为或者突破限制。但是需要注意的是,逆向分析可能会侵犯软件开发者的知识产权,因此在进行逆向分析时需要遵守相关法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值