一个病毒的脱壳及修复

最新推荐文章于 2020-08-18 16:36:15 发布
最新推荐文章于 2020-08-18 16:36:15 发布
阅读量890 收藏
点赞数

这是一个最近比较流行的使用.net 加壳的病毒脱去.net 壳后的一个中间体。脱壳和修复 过程不是很复杂,但还是需要一些小技巧。

    未脱壳的代码如下图所示:


wKioL1RcKGKRutCoAAF1CM64txo111.jpg

401535前面都是壳代码,从call eax进入到实际代码运行,从7ff8165c开始,但是实际代码运行后下api断点都断不来

wKiom1RcJ_2hbFNFAAHEoWib67Y787.jpg

7ff8166b这个调用跟进去,发现它指向了一个mov edi,edi,然后跟转到kernel32中去

wKioL1RcKGLDNPaYAACI8M0HVMs336.jpg

 

wKiom1RcJ_7h5ExoAAFUTGOpt_o966.jpg

问题就在这里,它是先跳到一个跳板内存里,跳板内存直接跳到api入口往后偏移两个字节的指令,因为前面两个字节指令是无实际意义的mov edi,edi,但是api断点是自动设到这里的,它这样跳转后,api断点就被它绕过去了。

 

wKioL1RcKGOSEVB1AAFYbCuw6mg905.jpg

7ff80000本来是iat指向的内存,这里被它偷梁换柱,先转到一块跳板内存,再跳转到api函数地址+2

 

先来修复一下这个iat表吧

通过patch前面的壳代码,让这里的iat表直接指向api函数地址

wKiom1RcJ_-CQoaqAAC3-2GnRS4444.jpg

正常的导入表内存:

wKioL1RcKGTgM2FYAAFtnynkVLw844.jpg

再次运行到call eax后,已经可以直接看到调用的api函数名字了

wKiom1RcKADwER1OAAFC3--ILhA969.jpg

 

到这里如果创建一个虚拟机快照,纯OD来分析已经比较方便了。但是如果要用IDA来分析话,就必须把这个进程DUMP出来并修复好。但是问题来了,这块7ff80000内存是后来申请的内存,它本身并不是一个PE结构,原始PE也没有这个节,直接dump full出来的文件,是没法修复的。

 

wKiom1RcKACw5rPEAAF0fhtUBG4593.jpg

danteng了一下,方法还是来了。没有这个节,就给它加个节吧

先还是dump full

wKioL1RcKGXxAtbvAAFGUIVZj0Y778.jpg

然后把7ff80000这个内存也dump出来

wKiom1RcKAGw-06NAAFX4EzdDtA563.jpg

通过ffi给这个PE加个section

wKioL1RcKGXQDWB8AADogsQ1lbk520.jpg

修改virtual Offset,这里要用7ff80000减去400000

wKiom1RcKAHzlLywAAFm5VwjopY631.jpg

好了,现在可以用import rec fix dump了,这里把rva手动指向到7ff80000的相对偏移

wKioL1RcKGaSLgdBAAJ3whbfYVs021.jpg

再把dumped_exe的入口改一下,前面import rec上直接改也可以

 

wKiom1RcKAGwDb1HAAAwwM2G9N4013.jpg

OK,搞定了,用IDA打开看一下,很爽吧

wKioL1RcKGbiK0xSAADGVHix0Lw242.jpg

 

    这个病毒的原体还是挺强悍的,.net加壳方式可以过掉360主防,而且免杀比较方便。

本文出自 “燕十二” 博客,请务必保留此出处http://chenjava.blog.51cto.com/374566/1573925

祝贞阳110
关注
手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 1830
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
CTB-LOCKER敲诈者病毒下载器脱壳之样本1
Fly20141201. 的专栏
05-06 2769
一、病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如下的提示画面(图1)以及桌面壁纸被修改(图2)所示。
病毒加壳技术与脱壳技术
B_H_L的专栏
10-16 4604
由于大量的杀毒软件的出现,以及杀毒软件病毒库的不断壮大,病毒被查杀的几率也越来越大。所以有些病毒就开始通过加壳的方法来伪装自己,企图骗过杀毒软件,蒙混过关。为了做好病毒防御,我们就该了解什么是加壳?加壳的对立面是不是脱壳?如何脱壳等?    一 什么是壳:    计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任
简单脱壳教程笔记
A powerful and unconstrained style
08-18 8418
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
介绍下加壳、脱壳以及如何病毒免杀技术与原理
weixin_33724570的博客
11-17 869
2019独角兽企业重金招聘Python工程师标准>>> ...
特别好用的UPX脱壳工具
07-20
在标签中提到的“脱壳”是一个关键概念。脱壳是逆向工程中的术语,指的是移除软件上的保护层,如压缩壳、加密壳或者混淆壳等。UPX壳是一种常见的文件压缩技术,它将原始的可执行文件数据压缩后替换,当程序运行时,...
通用输入表修复工具 v1.2
最新发布
03-16
此外,软件还附带了QQ截图20141103003548.png,这可能是开发者提供的一个示例或者使用教程,帮助用户更好地理解和使用工具。通过查看这张截图,用户可以直观地了解如何启动软件,执行修复操作,以及查看修复结果。 ...
Zprotect脱壳机.rar
05-22
解壳是逆向分析的第一步,因为许多病毒、木马或黑客工具都会使用各种壳技术来混淆代码,防止被轻易分析。 此次更新的亮点在于对BC++程序的支持。BC++,全称Borland C++,是一种早期流行的C++编译器,由于其编译出的...
加壳脱壳(转)
LG的专栏
03-31 1082
 加壳脱壳 新手必看 初学者必须掌握原理 (综合定义) 壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“壳”的世界吧。 一、金蝉脱壳的故事 我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是:寒蝉在蜕变时,本体脱离皮壳而
一个感染型的病毒逆向分析
Fly20141201. 的专栏
07-16 3623
作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。 对于代码的具体分析: 关键
勒索病毒傀儡进程脱壳
随心散人专栏
09-05 954
样本是:wallet勒索病毒 环境:虚拟机VMWARE win7 32位 工具:OD c32asm 初次拿到样本,先用火绒剑工具监控下病毒样本的流程,可以看到有一个自创建进程的行为。 我们等找到OEP后,在CreateProcessA下断点进行跟踪, 找到OEP后,对CreateProcessA下断点
鬼哥的一次简单脱壳实例(dex)实践
公众号shadow sock7
08-20 1267
http://note.youdao.com/noteshare?id=de7bed976d4ed1fd4d2d1e813984c6be
病毒分析流程总结
auriel的博客
04-27 6460
前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。                 一、在一个已经感染了病毒的机器上如何找到病毒文件?                找到
“熊猫烧香”病毒终极解决方案
紫晶花园-计算机技术分园
08-15 3842
“熊猫烧香”病毒终极解决方案  熊猫烧香病毒无疑成了近期互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法,这些方法不尽完美,再加上熊猫的变种很多,有效性要打折扣了。这里提供一个相对完整的方案供大家参考。   病毒信息   中文名:熊猫烧香病毒(又称武汉男生),英文名(Worm.WhBoy),目前发现的变种数已超过50个。   病毒典型恶劣表现:  1.感染病
MinGw与Cygwin的区别
常思考->有目标->重实践->善反思
11-24 7888
一、GCC的一般介绍 GCC是一个原本用于Unix-like系统下编程的编译器。不过,现在GCC也有了许多Win32下的移植版本。 GCC是GNU公社的一个项目。是一个用于编程开发的自由编译器。 最初,GCC只是一个C语言编译器,他是GNU C Compiler 的英文缩写。 随着众多自由开发者的加入和GCC自身的发展,如今的GCC以经是一个包含众多语言的编译器了。
逆向分析脱壳技巧总结
关注互联网安全的小虾米一枚
07-26 2518
一.脱壳基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. --------------------------------------- 二.脱壳调试过程中辨认快到OEP的方法 下
Tinker热修复加固
JiaWenGU
05-11 2129
一直等着Tinker更新版本,终于在前段时间,Tinker和各大加固厂商协作支持了加固的热修复,因为Tinker热修复需要后台去发布补丁,所以我们就选择了同样是腾讯旗下的Bugly,Bugly还支持异常捕获分析和运营统计等。话不多说直接开始我们今天的正文吧。 1. - 准备工作Bugly官网 首先我们去注册、登陆,创建应用拿到我们的appId备用。 2. -配置 首先新建一个工程TinkerBu
安卓反编译揭秘(爱加密系列教程十一)伪加密APK文件被破坏
u013790419的专栏
12-11 2243
1. 源码混淆     如上图,对Android APP的源码进行混淆后混淆器将代码中的所有变量、函数、类的名称加密为简短的英文字母代号,在APP被破解后增加破解者对代码的阅读难度。     但是混淆的功效只能运作在APP已经被破解后,而且只是增加破解者的难度时间,对其防止破解的作用意义不是很大。   2. 反工具破解之伪加密    
火绒反病毒引擎技术详解
火绒反病毒引擎是一款由北京火绒网络科技有限公司开发的...火绒反病毒引擎是一个全面、高效且具有创新性的安全工具,它融合了静态分析、动态行为分析和代码级修复等多种技术,旨在为用户创造一个安全、无虞的计算环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值