![](https://img-blog.csdnimg.cn/20201014180756754.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒记录
文章平均质量分 88
cqu20124793
这个作者很懒,什么都没留下…
展开
-
SHA-1:bde53ddafa82ed4266ada13488af219736b766e2
检测vmware虚拟机的两种方式1mov dx, 5658hin eax, dxcmp ebx,564d5868hsetz altest al,aljnz DIE ;br=1 死ALIVE2ip地址存在192.168.100.*该病毒内的一个代码结构抽象int v1=0, v2=0, v3=0;int v4=0xa, v5=3;char *n=...原创 2018-09-04 17:04:48 · 252 阅读 · 0 评论 -
SHA1:3670e86d024ccecc39c2a237d550b2ce7e7d95b1
一个避免启发式扫描的方式 bj_sub_403140_registerclass(hInstance); if ( bj_sub_4031A0_createwindow(hInstance, nShowCmd) ) { v4 = CreateThread(0, 0, StartAddress, 0, 0, 0); if ( v4 ) { ...原创 2018-09-06 18:19:45 · 267 阅读 · 0 评论 -
两种进程遍历方式
病毒样本MD5: 642A393A5C65D202180DF5AF06F29C5A#include <windows.h>#include <stdio.h>//通过HKEY_PERFORMANCE_DATA遍历进程. ----- 从nimda病毒中发现的这种方式.//https://docs.microsof原创 2018-09-10 15:49:11 · 473 阅读 · 0 评论 -
sality感染文件恢复算法
实习期的一个任务, 写sality专杀.首先逆向了ag的母体, 因为之前没接触该病毒, 就把ag详细看了遍, 之后开始看其他的变种.其中ag,bh较复杂, bh是ag的一种特殊情况, 即那两个key均为0的情况.相关代码:这代码中的startVM为一个指令模拟虚拟机, 用于模拟指令执行并得到病毒跳转出口值(push reg/ret, jmp reg这两种情况), 这虚拟机代码是公司的所以就...原创 2019-01-01 16:08:00 · 3327 阅读 · 3 评论 -
virut文件感染算法
文章目录随便词汇大流程感染过程大流程按照流程顺序---几个重要的点附录is_junk标志方式病毒块1分块指令块变形复制结构其他零碎函数声明rand_mul的返回值为rax突然增加一个变量,而且从来没有赋值?随便该变种+0x20处的值为0x2b845b00根据IDA F5代码的反人类程度, 可以确定virut肯定是作者用汇编写的. 然后IDA F5先转成IL, 简化后生成C代码, 只有这样生成...原创 2019-01-01 16:07:56 · 967 阅读 · 1 评论 -
virut感染文件恢复算法
接上一篇:virut文件感染算法上一篇是在我阅读完virut感染代码后立刻写的, 然后这几天我在写恢复算法, 今天差不多完成了, 写的同时, 发现有的地方我理解地不准确. 例如, 当直接修改oep而不通过hook点1来跳转到病毒代码时, 是没有那两句c6 05/ c7 05的, 此时就通过计算来得到oep值, 也就是我源代码中的backvalue1和backvalue2.源代码VS2017解...原创 2019-01-01 16:07:51 · 1304 阅读 · 1 评论 -
lnk文件木马
最早出现是几年前, 最近几年貌似蛮流行的.微软官方对lnk文件的介绍phrozen的三篇文章:shortcut as entrypoint of malware part1shortcut as entrypoint of malware part2shortcut as entrypoint of malware part2主要内容概括:第一篇讲到建立快捷方式, 然后在快捷方式目标...原创 2019-01-29 15:16:37 · 1751 阅读 · 0 评论