对某病毒的一次完全逆向分析

 一次从网上下载了个rar压缩包，双击之后winrar直接崩溃。当时心想，自己是不是太幸运了，竟然撞到
了一个利用winrar漏洞的POC。然而测试发现，即使不打开rar文档，winrar同样一启动就崩溃。可见，不是winrar有漏洞。难道是由于前 期对winrar的patch造成的？直接把备份的winrar还原回去，“暂时”能用了。又过了几天，由于某种原因，需要用Chrome浏览器，结果 Chrome浏览器启动即崩溃，再打开winrar又崩溃„„这时，笔者开始怀疑是不是中招了。结果用IDA查了下Chrome主程序的反汇编，入口点代 码异常。可见，确实中毒了，而且是PE感染型病毒。笔者用的是win7系统，一直稞奔。平时的安全性主要依赖UAC和“良好”的上网习惯.。由于对UAC 的信任，料想病毒应该没有权限能够改写C:\Program Files文件夹中的程序，被感染的规模应该不大。然而这次真是大错特错了。笔者的OD一类 的工具在D盘，用OD调试一下OD自身，结果更让人吃惊，OD也被感染了！这下可麻烦了，OD运行需要管理员权限的，这样一来，病毒同样有管理员权限，所 以除系统目录还有点“特殊照顾”外，其它目录病毒都是可以改写的。试了试，结果证明推测是正确的。几乎所有安装的程序被感染，所有其它盘里保存的安装包和 各类程序同样无一幸免。无奈之余，还是求助了一向鄙视的杀软，临时安装数字，扫了下，病毒数目有多少就不提了。花了好长时间处理完了，C盘的程序勉强恢复 能用，然而其它盘里的程序多半处于残疾状态。因为不是专杀，而且现在多数安装包带自校验，所以备份的安装包几乎全部报废。更要命的是自己常用的工具箱根本 没法处理。里边本来就是黑白不分，现在又有谁能识别清楚？一句话，损失太大了！ 

    平时自己就去那么几个站点，上网习惯还算可以，这病毒到底是从哪儿来的呢？仔细回想下，稍微有了些头绪。事发前些天笔者曾经从坛子里下载了个** 黑客工具箱，打开一看是用音速启动管理的。然而，这个音速启动界面竟然触发UAC，需要管理员权限。好奇心使笔者当时没大注意这个，直接以管理员权限运行 了。这应该是问题所在了。唉，好奇心真是害人啊。这里也顺便提醒一下大家，一定要当心，别有用心的人大有人在，有几个真正在无私奉献？笔者为了好奇心付出 了惨重的代价，然而，能这么算了吗，血能白流吗？这病毒究竟想干什么？怎么干的？又是出于对以上几个问题的好奇，经过一段时间地折腾，本文诞生了。 

    由于重点是逆向分析，练习逆向基本功，所以并未采用自动化分析工具。分析过程是自然式的，流水账式的，这样能尽量还原现场的思路，以便于大家拍砖。这是笔者第一次深入分析病毒，过程中难免会出现低智商问题，期待和大家一起交流进步，期待拍砖！

目录

1前言 ..................................................................................... 1
2环境配置 ............................................................................... 1
3样本提取 ............................................................................... 1
4分析病毒Loader ..................................................................... 3
5提取被捆绑的dlll文件 ................................................................30
6分析main_virus.dll .................................................................30
6.1 分析main_virus.dll的框架结构 ..............................................31
6.2 分析DllMain ........................................................................31
6.3 分析Initiate ........................................................................32
6.4 分析main_virus.dll的感染部分 ..............................................33
6.4+ 变异代码生成算法 ...............................................................43
6.5分析main_virus.dll的功能（后门）部分 ....................................58
6.5.1 调试问题 ..........................................................................58
6.5.2寻找关键代码 ......................................................................58
6.5.3 分析通信协议 .....................................................................61
6.5.4 编写后门利用程序 .............................................................. 62
总结............................................................................................63

详细文档

http://files.cnblogs.com/microzone/%E5%AF%B9%E6%9F%90%E7%97%85%E6%AF%92%E7%9A%84%E4%B8%80%E6%AC%A1%E5%AE%8C%E5%85%A8%E9%80%86%E5%90%91%E5%88%86%E6%9E%90.pdf

转载于:https://www.cnblogs.com/microzone/p/3237035.html