Win32.Hack.Surila.k简介_Win32.Hack.Surila.k个人资料_Win32.Hack.Surila.k微博_百科网
A-A+

Win32.Hack.Surila.k简介_Win32.Hack.Surila.k个人资料_Win32.Hack.Surila.k微博

2016-11-26 18:52:15 科学百科 阅读 2 次

概要/Win32.Hack.Surila.k 编辑

病毒别名:
处理时间:
威胁级别:★★
中文名称:
病毒类型:黑客程序
影响系统:Win9x / WinNT
病毒行为:


Obsidium 1.0.0.61脱壳之引入表修复

1.下断点VirtualAlloc+? (该壳有反调试功能,所以最好把断点设API地址+几个字节的位置)
2.Ctrl+F9返回用户进程,下硬件执行断点到3A78A0
注:要得到上面3A78A0这个地址可以根据以下步骤得到:
A.在上次Dump出来的程序中找一个API调用如:
0A21398 MOVZX eax, 【ebp+var_141】
iatRegio:00A2139F test eax, eax
iatRegio:00A213A1 jz short loc_A213AB
iatRegio:00A213A3 push 0
iatRegio:00A213A5 call ds:dword_A64114(这里就是一个API调用,从IDA里可以知道
A64114里存放的是一个地址,这个例子里是3A8394)

用OD下内存写入断点在3A8394处,F9执行,然后搜索指令:test word ptr ds:【esi】,20可以得到上面的地址


003A78A0 66:F706 2000 TEST WORD PTR DS:【ESI】,20 把这里的20改成3
003A78A5 74 46 JE SHORT 003A78ED
003A78A7 66:F706 0200 TEST WORD PTR DS:【ESI】,2
003A78AC 75 1F JNZ SHORT 003A78CD
003A78AE 66:C706 0400 MOV WORD PTR DS:【ESI】,4
003A78B3 8B45 14 MOV EAX,DWORD PTR SS:【EBP+14】
003A78B6 6A 01 PUSH 1
003A78B8 6A 00 PUSH 0
003A78BA FF76 04 PUSH DWORD PTR DS:【ESI+4】
003A78BD 6A 00 PUSH 0
003A78BF FF75 18 PUSH DWORD PTR SS:【EBP+18】
003A78C2 FF50 40 CALL DWORD PTR DS:【EAX+40】
003A78C5 85C0 TEST EAX,EAX
003A78C7 74 39 JE SHORT 003A7902
003A78C9 8907 MOV DWORD PTR DS:【EDI】,EAX
003A78CB EB 20 JMP SHORT 003A78ED
003A78CD 66:C706 0400 MOV WORD PTR DS:【ESI】,4
003A78D2 8B45 14 MOV EAX,DWORD PTR SS:【EBP+14】
003A78D5 0FB756 02 MOVZX EDX,WORD PTR DS:【ESI+2】
003A78D9 6A 01 PUSH 1
003A78DB 52 PUSH EDX
003A78DC 6A 00 PUSH 0
003A78DE FF76 04 PUSH DWORD PTR DS:【ESI+4】
003A78E1 FF75 18 PUSH DWORD PTR SS:【EBP+18】
003A78E4 FF50 40 CALL DWORD PTR DS:【EAX+40】
003A78E7 85C0 TEST EAX,EAX
003A78E9 74 17 JE SHORT 003A7902 把这里的指令NOP掉
003A78EB 8907 MOV DWORD PTR DS:【EDI】,EAX
003A78ED 83C6 08 ADD ESI,8
003A78F0 83C7 04 ADD EDI,4
003A78F3 FF4D 08 DEC DWORD PTR SS:【EBP+8】
003A78F6 ^75 A8 JNZ SHORT 003A78A0
003A78F8 33C0 XOR EAX,EAX
003A78FA 40 INC EAX
003A78FB 5F POP EDI
003A78FC 5E POP ESI
003A78FD 5B POP EBX
003A78FE C9 LEAVE
003A78FF C2 1400 RETN 14
003A7902 33C0 XOR EAX,EAX
003A7904 5F POP EDI
003A7905 5E POP ESI
003A7906 5B POP EBX
003A7907 C9 LEAVE
003A7908 C2 1400 RETN 14


3.


003A778D FF4D FC DEC DWORD PTR SS:【EBP-4】 这里为当前程序加载的DLL的个数
当【EBP-4】为0时表示所有的API已经处理完了
003A7790 EB 03 JMP SHORT 003A7795
003A7792 15 349A0F85 ADC EAX,850F9A34
003A7797 21FD AND EBP,EDI
003A7799 FFFF ??? ; 未知命令
003A779B EB 02 JMP SHORT 003A779F
003A779D BF FE33C0EB MOV EDI,EBC033FE
003A77A2 0226 ADD AH,BYTE PTR DS:【ESI】
003A77A4 04 5F ADD AL,5F

用F7再往下走几步可以看到如上指令

003A7795 ^0F85 21FDFFFF JNZ 003A74BC 这里跳往处理下一个DLL的API
003A779B EB 02 JMP SHORT 003A779F 所以在这里下断点,F9就可以了

003A779D BF FE33C0EB MOV EDI,EBC033FE
003A77A2 0226 ADD AH,BYTE PTR DS:【ESI】
003A77A4 04 5F ADD AL,5F
003A77A6 5E POP ESI
003A77A7 5B POP EBX
003A77A8 C9 LEAVE
003A77A9 C3 RETN

4.当所有的API处理完成后,把A64000起开始1000H数据复制出来
并贴到上次Dump出来的文件的VA:A64000=OFFSET:51600处
5.最后用Import REConstructor修复
在RVA处填664000
点GetImport
剪掉几个无效的涵数。KO!!!!!


注:
因该壳采Stolen Coder技术(即把原程序中的部分代码移到壳中执行了),目录这个程序还是不能运行
但对于分析已经足够了。

 

相关条目/Win32.Hack.Surila.k 编辑

计算机 木马 病毒 网络 软件 系统