聚合Vip网络社区 集合 HK共享吧 合购VIP等精品教程

 找回密码
 立即注册

QQ登录

只需一步,快速开始

关闭
聚合Vip社区
欢迎QQ或来电咨询
工作时间:周一至周五
AM9:00-PM22:00
淘宝店铺 淘宝皇冠店铺
论坛邀请码
查看: 4377|回复: 415

[病毒分析区] 震网~WTR4141.TMP分析

  [复制链接]

1万

主题

14

听众

2万

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    郁闷
    2014-12-12 09:43
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-5-7 17:39:29 |显示全部楼层

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    立即注册 已有账号?点击登录 或者 用QQ帐号登录

    x
    前一段熟悉了用户态的API Hook,而震网采用用户态IATHook来实现文件隐藏,所以就拿来练练手,对其进行逆向分析,顺便学学其中的方法。将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。内存中通过调用导出函数1跳转到DllGetClassObject,函数的Hook功能就在此部分完成,下面主要对其进行分析。整个函数的结构如下图所示:

    函数sub_10002340加载4132.tmp(病毒主dll),然后解析,完成病毒文件更新。函数sub_100019A0完成Hook功能。从函数中我们可以看到主要Hook了FindFirstFileW、FindNextFileW、FindFirstFileExW、NtQueryDirectoryFile、ZwQueryDirectoryFile这5个函数
    IATHook实现如下:

    PE头+78H就是PE的IMAGE_DATA_DIRECTORY[0],也就是V4的值
    78H:输出表
    V11:导出表地址
    V5:导出表名称
    V10:导出表中成员个数
    v9 = v4 + a1 + 0x24
    V9:导出表序列号数组

    遍历导出表的导出名称表,与要Hook的函数名称进行比较
    然后定位到要Hook的Dll的位置,利用同样的方法找到其导入表地址IMAGE_DATA_DIRECTORY[1]

    v7 = *(v6 + a2 + 12);
      v8 = a2 + v6;
      v9 = *(v8 + 16);
      v10 = (a2 + v7);
      v11 = (v9 + a2);
      v12 = *v8 + a2;
    V9:导入地址表(IAT)的RVA       V11:导入地址表
    V8:dll的导入名称表(INT)的RVA  V12:导入名称表地址
    V7:DLL导入表映像文件的名字RVA  V10:dll名称
    f (!lstrcmpiA(lpString1, v10) )
    {
        v13 = *v12;
        v14 = *v12 < 0;
    }
    找到DLL所在的名称表,保存为v12和v13
    接着通过DLL的名称表找到HookApi对应的地址

    在DLL中找到HookDll后,直接将其值修改为自己要执行的API a5
    *v11 = a5
    A5的值为sub_100019A0的参数

    Hook后执行的函数主要完成对函数返回结果的过滤


    病毒样本下载地址:
    http://download.csdn.net/detail/flypuam/8060003



    上传的图像  


    回复

    使用道具 举报

    19

    主题

    0

    听众

    481

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 17:39:40 |显示全部楼层
    沙发怎么能少了我?!
    回复

    使用道具 举报

    17

    主题

    0

    听众

    523

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 17:42:44 |显示全部楼层
    天啊.
    回复

    使用道具 举报

    9

    主题

    0

    听众

    453

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 17:45:53 |显示全部楼层
    不错,支持下
    回复

    使用道具 举报

    15

    主题

    0

    听众

    560

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 17:49:55 |显示全部楼层
    呵呵,明白了
    回复

    使用道具 举报

    17

    主题

    1

    听众

    540

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 18:00:06 |显示全部楼层
    有空一起交流一下
    回复

    使用道具 举报

    14

    主题

    0

    听众

    465

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 18:55:09 |显示全部楼层
    确实不错,顶先
    回复

    使用道具 举报

    9

    主题

    0

    听众

    658

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 18:58:53 |显示全部楼层
    我只是路过,不发表意见
    回复

    使用道具 举报

    13

    主题

    0

    听众

    518

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 20:11:10 |显示全部楼层
    小白一个 顶一下
    回复

    使用道具 举报

    21

    主题

    0

    听众

    440

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 20:19:16 |显示全部楼层
    纯粹路过,没任何兴趣,仅仅是看在老用户份上回复一下
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    回帖奖励

    [详情]

  • * 每天自己主题被回复3次可获得额外2金钱奖励。
  • * 每天回复他人主题5次可获得额外3贡献的奖励。
  • * 奖励每天都可领取,一定要多参与论坛讨论哦。
  • * 同一主题的重复回复不计。
  • 手机版|Archiver|聚合Vip网络社区 ( 鲁ICP备14030129号-2 )Discuz超级管家   

    GMT+8, 2018-10-17 15:25 , Processed in 1.009634 second(s), 62 queries .

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc. Template by A3cn

    回顶部