自己动手写病毒修复程序

   

 哎，在这里先鄙视360一下，昨天我真的很生气！发样本给他等了两天，他回复说360可以查杀了，安装上几百兆的360杀毒后一杀，我的那个心痛啊！竟然是直接删除感染文件！实在无语，我都知道自己全盘EXE被感染了，还要你来删除？！，要删除我一个批处理早删了，一个特征码的提取也需要两天的时间？！

    心凉啊~国货当自强，就是这样自强的？呼~不说了，自己动手写个修复工具好得很，花了半天的时间去网上下载VS2008，OD等工具，然后又花了半天的时间分析加编程，终于写出来，下面说下思路...

 

由于我的系统里面已经没有活动的病毒了，只是一些带毒文件需要修复，所以也没必要去分析病毒行为了，只需对比一下感染文件和原文件的差异，修复即可...

 

【1.分析】

 

用文件比较工具对比两个文件：

搜索差异

1. Z:/Documents and Settings/feng/桌面/病毒样本/病毒样本/VStart.exe: 920,064 bytes
2. Z:/Documents and Settings/feng/桌面/病毒样本/病毒样本/VStart_Infected.exe: 1,164,800 bytes
Offsets: 16 进制

 

   CE: 03 04  ; 区块数 增加了1

 

   E5: E0 9C  ; SizeOfCode  -RawSize
   E6: 0D 11 
  
   F0: E0 00  ;  入口地址被 修改 
   F1: 4F A0

 

  119: A0 60  ; SizeOfImage -VirtualSize
  11A: 27 2B

 

  238: 00 DD  ;最后一个区块全部清0
  239: 00 79
  23A: 00 A4
  23C: 00 E0
  23D: 00 4F
  23E: 00 27
  241: 00 C0
  242: 00 03
  245: 00 A0
  246: 00 27
  249: 00 BC
  24A: 00 03
  24D: 00 0A
  24E: 00 0E
  25A: 00 34
  25B: 00 08
  25C: 00 20
  25F: 00 E0

25 差异 找到。

配合Stud_PE不难得到上述信息即

1.感染文件增加了一个区段

2.感染文件的入口地址被修改指向新增区段

3.代码块大小和映像大小改变

 

【2.修复】

1）首先肯定是提取特征码，用OD载入被感染文件

 

0067A000 > $  55            push    ebp
0067A001   .  8BEC          mov     ebp, esp
0067A003   .  81EC 84000000 sub     esp, 84
0067A009   .  64:FF35 30000>push    dword ptr fs:[30]
0067A010   .  58            pop     eax
0067A011   .  8945 DC       mov     dword ptr [ebp-24], eax
0067A014   .  C745 EC 00B80>mov     dword ptr [ebp-14], 3B800
0067A01B   .  C745 CC 433A5>mov     dword ptr [ebp-34], 325C3A43
0067A022   .  C745 D0 63613>mov     dword ptr [ebp-30], 37346163
0067A029   .  C745 D4 39646>mov     dword ptr [ebp-2C], 2E646439
0067A030   .  C745 D8 65786>mov     dword ptr [ebp-28], 00657865

 

从第三行开始取12个字节作为特征码（感觉这部分代码还是比较独特的）再配合多出来的区段作为第二特征...

 

入口地址为最后一个区段的起始地址，这是一个很独特的特征

 

判断特征码的代码如下：

unsigned long RVAEntry = PEhead->OptionalHeader.AddressOfEntryPoint; bool befuckentry = false; bool befucksection = false; IMAGE_SECTION_HEADER* ISH = (IMAGE_SECTION_HEADER*)((unsigned long)PEhead + sizeof(IMAGE_NT_HEADERS)); ISH+=(PEhead->FileHeader.NumberOfSections - 1); if(ISH->VirtualAddress == RVAEntry) { befucksection = true; DP1(_T("%ws有感染的节区！"),ps); } unsigned long RAEntry = GetRAbyRVA(hMapView,RVAEntry); if(*(unsigned long *)(RAEntry+0x04)== 0x0084EC && *(unsigned long *)(RAEntry+0x08)== 0x35FF6400 && *(unsigned long *)(RAEntry+0x0C)== 0x0030) { befuckentry = true; DP1(_T("%ws有感染的特征"),ps); }

 

2）.修复OEP

在感染文件的入口向下偏移0x26A处 有一个JMP，是跳转到真正的OEP的

$+260    > .  40            inc     eax
$+261    > .  8945 80       mov     dword ptr [ebp-80], eax
$+264    > .^ EB 95         jmp     short 0067A1FB
$+266    > >  C9            leave
$+267    > .  83C4 04       add     esp, 4
$+26A    > .- E9 71ADFFFF   jmp     00674FE0
$+26F    >    4D            db      4D                               ;  CHAR 'M'
$+270    >    5A            db      5A                               ;  CHAR 'Z'
$+271    >    90            nop

 

因此                             RealOEP=FakeOEP+[OEP+0x26F]

 

3).修复其他部分

代码块大小和映像大小的修复都很简单，最后记得把新增区段的区段表清0...

 

主要修复函数 DealPE代码

BOOL DealPE(const TCHAR* ps) { HANDLE hMapView = 0; bool rets = false; try { HANDLE hFile = CreateFile(ps,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0); if(hFile == INVALID_HANDLE_VALUE) return false; HANDLE hFileMapping = CreateFileMapping(hFile,0,PAGE_READWRITE,0,0,0); CloseHandle(hFile); hMapView = MapViewOfFile(hFileMapping,FILE_MAP_READ|FILE_MAP_WRITE,0,0,0); CloseHandle(hFileMapping); if(!hMapView) { return FALSE; DP1(_T("MapViewOfFile失败!-->%ws"),ps); } IMAGE_DOS_HEADER* doshead = (IMAGE_DOS_HEADER*)hMapView; if(doshead->e_magic != 'ZM') { return FALSE; DP1(_T("检测MZ标志失败!-->%ws"),ps); } IMAGE_NT_HEADERS* PEhead = (IMAGE_NT_HEADERS*)((unsigned long)doshead + (unsigned long)doshead->e_lfanew); if(PEhead->Signature != 'EP') { return FALSE; DP1(_T("检测PE标志失败!-->%ws"),ps); } NUM_process++; tmp.Empty(); tmp.Format(L"%d",NUM_process); ::SendMessage(HNUM1,WM_SETTEXT,0,(LPARAM)tmp.GetBuffer()); ::SendMessage(HMSG,WM_SETTEXT,0,(LPARAM)ps); unsigned long RVAEntry = PEhead->OptionalHeader.AddressOfEntryPoint; bool befuckentry = false; bool befucksection = false; IMAGE_SECTION_HEADER* ISH = (IMAGE_SECTION_HEADER*)((unsigned long)PEhead + sizeof(IMAGE_NT_HEADERS)); ISH+=(PEhead->FileHeader.NumberOfSections - 1); if(ISH->VirtualAddress == RVAEntry) { befucksection = true; DP1(_T("%ws有感染的节区！"),ps); } unsigned long RAEntry = GetRAbyRVA(hMapView,RVAEntry); if(*(unsigned long *)(RAEntry+0x04)== 0x0084EC && *(unsigned long *)(RAEntry+0x08)== 0x35FF6400 && *(unsigned long *)(RAEntry+0x0C)== 0x0030) { befuckentry = true; DP1(_T("%ws有感染的特征"),ps); } if(befucksection&&befuckentry) { NUM_infect++; tmp.Empty(); tmp.Format(L"%d",NUM_infect); ::SendMessage(HNUM2,WM_SETTEXT,0,(LPARAM)tmp.GetBuffer()); DP1(_T("正在修复%ws"),ps); DWORD JMP=*(DWORD *)(RAEntry+0x26B); DWORD realEntry =RVAEntry+0x26F+JMP; PEhead->OptionalHeader.AddressOfEntryPoint = realEntry; //修复入口 size_t realfilelen = ISH->PointerToRawData; PEhead->OptionalHeader.SizeOfCode -= ISH->SizeOfRawData; //修复代码块大小 --(PEhead->FileHeader.NumberOfSections); //修复区段个数 PEhead->OptionalHeader.SizeOfImage -= ISH->Misc.VirtualSize; //修复映像大小 memset((void *)ISH,0,0x28); //清除区块表 UnmapViewOfFile(hMapView); hMapView = 0; HANDLE hFile = CreateFile(ps,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0); if(hFile == INVALID_HANDLE_VALUE) return false; SetFilePointer(hFile,realfilelen,0,FILE_BEGIN); SetEndOfFile(hFile); CloseHandle(hFile); DPS(_T("========修复成功！========")); NUM_repair++; tmp.Empty(); tmp.Format(L"%d",NUM_repair); ::SendMessage(HNUM3,WM_SETTEXT,0,(LPARAM)tmp.GetBuffer()); rets = true; } } catch(...) { } if(hMapView)UnmapViewOfFile(hMapView); return rets; }

 

==================================================================================

 

= =！！ 好像分析得一点都不具体，不过有基础的同学应该能看懂的...

 

上源代码：

 

http://www.breeze356.com/rar/VKiller_src.rar