反汇编教程Word文档下载推荐.docx
- 文档编号:19382004
- 上传时间:2023-01-05
- 格式:DOCX
- 页数:38
- 大小:39.50KB
反汇编教程Word文档下载推荐.docx
《反汇编教程Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《反汇编教程Word文档下载推荐.docx(38页珍藏版)》请在冰豆网上搜索。
6AFF
-1
0041C08E
6866666600
666666
0041C093
6888888800
888888
;
SE处理程序安装
0041C098
64:
A10000000>
mov
eax,dwordptrfs:
[0]
0041C09E
50
eax
0041C09F
892500000>
dwordptrfs:
[0],esp
0041C0A6
58
pop
0041C0A7
A30000000>
[0],eax
0041C0AD
90
nop
0041C0AE
720C
jb
short0041C0BC
0041C0B0
730A
jnb
0041C0B2
>
0041C0B3
0041C0B4
0041C0B5
0041C0B6
7210
short0041C0C8
0041C0B8
730E
0041C0BA
0000
add
byteptr[eax],al
0041C0BC
0041C0BD
0041C0BE
0041C0BF
0041C0C0
.^72F0
short0041C0B2
0041C0C2
.^73EE
0041C0C4
0041C0C6
0041C0C8
0041C0C9
0041C0CA
0041C0CB
0041C0CC
0041C0CD
0041C0CE
83C401
esp,1
0041C0D1
0041C0D2
0041C0D3
0041C0D4
83C4FF
esp,-1
0041C0D7
0041C0D8
.^0F8276D8FEFFjb
00409954
0041C0DE
.^0F8370D8FEFFjnb
最后2句
玩过免杀的人都知道,这2句合成的效果就是jmp00409954
我们到00409954看看,
00409954
/>
/55
00409955
|.|8BEC
00409957
|.|B90E000000
ecx,0E
0040995C
|>
|6A00
/push
0
0040995E
|.|6A00
|push
00409960
|.|49
|dec
ecx
00409961
|.^|75F9
\jnz
short0040995C
这个头好点熟悉啊,玩破解的人应该知道是什么语言的oep了吧?
!
我们在00409954按F4,dump出来
查壳BorlandDelphi6.0-7.0
成功脱壳去花了,下面就来简单分析这个病毒的工作原理吧
为了安全起见,我推荐在虚拟机或者影子系统上分析
我机子配置比较差,只好直接分析了(一不小心运行就...)
不过为了安全,我们还是对关键的函数下断点
对那些CreateFile,CopyFile,DeleteFile这些文件操作的函数下断
最好还打开文件监控和注册表监控的软件
如果api不熟悉的话,可以用这个软件
LiquidX函数查询宝典V2.0Pro
下载地址
我在这里就直接右键,查找,所以参考文本字符串
可以看到一堆的字符串了
然后双击一些关键的字符串进去简单分析分析算了
比如分析一下这里:
文本字串参考位于d2:
条目557
地址=00408A6A
反汇编=mov
ecx,00408B40
文本字串=ASCII"
AutoRun.inf"
双击来到下面函数:
004089F0
/$
004089F1
|.
004089F3
83C4D0
esp,-30
004089F6
53
ebx
004089F7
56
esi
004089F8
57
edi
004089F9
33C0
xor
eax,eax
初始化一些局部变量
004089FB
8945D0
dwordptr[ebp-30],eax
004089FE
8945D4
dwordptr[ebp-2C],eax
00408A01
8945FC
dwordptr[ebp-4],eax
00408A04
8945F8
dwordptr[ebp-8],eax
00408A07
8945F4
dwordptr[ebp-C],eax
00408A0A
8945F0
dwordptr[ebp-10],eax
00408A0D
eax,eax
00408A0F
00408A10
68F58A4000
00408AF5
00408A15
FF30
[eax]
00408A18
8920
[eax],esp
00408A1B
BE048B4000
esi,00408B04
ASCII"
DEFGHIJKLMNOPQRSTUVWXYZ"
;
看样子是想遍历所有磁盘了
C盘肯定是系统盘,所以不用遍历
00408A20
8D7DD9
lea
edi,dwordptr[ebp-27]
00408A23
B905000000
ecx,5
00408A28
F3:
A5
rep
movsdwordptres:
[edi],dwordptr[esi]
00408A2A
66:
movs
wordptres:
[edi],wordptr[esi]
00408A2C
A4
byteptres:
[edi],byteptr[esi]
00408A2D
8D45D4
eax,dwordptr[ebp-2C]
00408A30
E863C1FFFF
call
00404B98
00408A35
8B55D4
edx,dwordptr[ebp-2C]
00408A38
8D45F8
eax,dwordptr[ebp-8]
00408A3B
B9248B4000
ecx,00408B24
.exe"
00408A40
E82FACFFFF
00403674
00408A45
BE17000000
esi,17
循环0x17次,23次,就是上面的字母数了
00408A4A
8D5DD9
ebx,dwordptr[ebp-27]
00408A4D
8D45D0
/lea
eax,dwordptr[ebp-30]
00408A50
8A13
|mov
dl,byteptr[ebx]
00408A52
E879ABFFFF
|call
004035D0
00408A57
8B55D0
edx,dwordptr[ebp-30]
00408A5A
8D45FC
|lea
eax,dwordptr[ebp-4]
00408A5D
B9348B4000
ecx,00408B34
:
\"
00408A62
E80DACFFFF
00408A67
8D45F4
eax,dwordptr[ebp-C]
00408A6A
B9408B4000
ecx,00408B40
00408A6F
8B55FC
edx,dwordptr[ebp-4]
00408A72
E8FDABFFFF
00408A77
8D45F0
eax,dwordptr[ebp-10]
00408A7A
8B4DF8
ecx,dwordptr[ebp-8]
00408A7D
00408A80
E8EFABFFFF
00408A85
8B45FC
00408A88
E89BADFFFF
00403828
00408A8D
eax
/RootPathName
00408A8E
E8E1B5FFFF
<
jmp.&
kernel32.GetDriveTypeA>
\GetDriveTypeA
00408A93
83F803
|cmp
ax,3
判断是否为固定硬盘
00408A97
7530
|jnz
short00408AC9
不是的话就跳
00408A99
6A00
0
SetFileAttributes的参数,normal属性
00408A9B
8B45F4
00408A9E
E885ADFFFF
00403828
跟进,发现是使eax指向0040382D
00408AA3
8BF8
edi,eax
|
00408AA5
edi
|FileName
00408AA6
E869B6FFFF
kernel32.SetFileAttributesA>
\SetFileAttributesA
00408AAB
/FileName
00408AAC
E89BB5FFFF
kernel32.DeleteFileA>
\DeleteFileA
00408AB1
00408AB3
8B45F0
00408AB6
E86DADFFFF
00408ABB
00408ABD
00408ABE
E851B6FFFF
00408AC3
00408AC4
E883B5FFFF
00408AC9
43
|inc
00408ACA
4E
00408ACB
|.^7580
short00408A4D
00408ACD
00408ACF
5A
edx
00408AD0
59
00408AD1
00408AD2
8910
[eax],edx
00408AD5
68FC8A4000
00408AFC
00408ADA
00408ADD
BA02000000
edx,2
00408AE2
E8EDA9FFFF
004034D4
00408AE7
00408AEA
BA04000000
edx,4
00408AEF
E8E0A9FFFF
00408AF4
\.
C3
retn
这个函数简单看来好像是遍历所有磁盘,把原来的存在的AutoRun.inf以及.exe删掉
然后再放进他自己的AutoRun.inf和病毒.exe
还有其他功能可能要动态分析了,我们简单分析一下就够了,去下一个函数吧
就在刚才那个的下面,找到这个吧
条目563
地址=00408B8B
eax,00408E14
Explorer.Exe"
双击来到下面:
00408B4C
00408B4D
00408B4F
B90A000000
ecx,0A
00408B54
00408B56
00408B58
49
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 汇编 教程