第4篇 熊猫烧香逆向分析(中)

仅用于信息防御学习,请勿用于非法用途!!!

目录

一、实验环境

二、函数sub_408024分析

1、函数sub_ 40277C分析

2、函数sub_ 405684分析

3、函数sub_ 403ED4分析

4、函数sub_4057A4分析

5、函数sub_4040CC分析

6、函数sub_4078E0分析

7、函数sub_403C44分析

8、函数sub_403ECC分析


一、实验环境

        实验环境:windows xp sp2
        病毒样本:87551e33d517442424e586d25a9f8522(MD5值)
        软       件:PEiD、OllyDBG、IDA pro

二、函数sub_408024分析

        IDA中进入函数sub_408024,在函数最开始的位置,将0x84赋值给ecx,作为循环的次数。接着是两个push,每个push可以申请32位的栈空间,两个push就可以申请8字节(64位)空间,这样的申请一共进行了0x84次。

第4篇 熊猫烧香逆向分析(中)_第1张图片

1、函数sub_ 40277C分析

        在ollyDbg中,直接跳转到0x40804D处,对该函数进行动态分析。

第4篇 熊猫烧香逆向分析(中)_第2张图片

         可以看到调用了函数GetModuleFileName来获取当前进程已加载模块的文件的完整路径。其中“PathBuffer”的数据所在的地址中会保存文件的完整路径的信息。按F8步过,可见数据窗口会保存文件完整路径信息。

第4篇 熊猫烧香逆向分析(中)_第3张图片

         在IDA中将函数sub_40277C重命名为“GetFilePathAndName”.

2、函数sub_ 405684分析

        在OllyDbg中跳转到0x40805E处,首先查看EAX、EDX中保存的内容。

第4篇 熊猫烧香逆向分析(中)_第4张图片

第4篇 熊猫烧香逆向分析(中)_第5张图片        进入函数sub_405684,可见又出现了循环,直接来到循环出进行检查。  

第4篇 熊猫烧香逆向分析(中)_第6张图片

        可以看到,将[ebp-4]处的内容赋值给eax,[ebp-4]处的内容就是之前获取的病毒的完整路径。

​         mov al,byte ptr [eax+ebx-1]:

​         注:凡是Delphi所编写的程序,它会在字符串减4的位置保存一个数值,这个数值就是字符串的长度。而ebx保存的正是这个字符串的长度。

第4篇 熊猫烧香逆向分析(中)_第7张图片

         [eax+ebx-1]:计算字符串最后一个字母的位置,即“e”。

        ​ 继续按F8执行,结合IDA分析0x5C、0x2F、0x3A对应的值。

 第4篇 熊猫烧香逆向分析(中)_第8张图片

        0x5C代表'\'、0x2F代表’/‘、0x3A代表':'。

​         直接跳出循环,单步步过,在调用40412C函数后,数据窗口出现变化。

第4篇 熊猫烧香逆向分析(中)_第9张图片

 

         由此,可以得出,函数sub_405684的作用是获取病毒文件所在路径。在IDA中,将函数sub_405684重命名为”GetFilePath“。

3、函数sub_ 403ED4分析

第4篇 熊猫烧香逆向分析(中)_第10张图片

         可以看到,[ebp-3B4]中保存的值为0x009B0144,而该地址对应的数据如下图所示,即不带文件名的文件路径。

第4篇 熊猫烧香逆向分析(中)_第11张图片

         接着是将0x40862C赋值给edx,地址0x40862C对应的数据如下:

第4篇 熊猫烧香逆向分析(中)_第12张图片

         在IDA中进去函数403ED4进行分析,一眼看不出什么。

第4篇 熊猫烧香逆向分析(中)_第13张图片

         不妨,步过函数,观察数据窗口发生了什么。

第4篇 熊猫烧香逆向分析(中)_第14张图片

        可以看到,刚刚不带文件的路径名后,增加了一个”Desktop.ini“,组成新的字符串。

​        由此,我们可以的得出函数sub_403ED4的功能:拼接字符串。

​        进入IDA,对sub_403ED4进行重命名:StringCat。

4、函数sub_4057A4分析

        在OllyDbg中转到0x408073位置,在数据窗口查看[ebp-3B4]保存的值所在的地址中的数据。

第4篇 熊猫烧香逆向分析(中)_第15张图片

 

         可以看到,是我们之前已经连接好的字符串的首地址。

        ​ F8步过,按F7步入函数4057A4。

第4篇 熊猫烧香逆向分析(中)_第16张图片

         同样,步入函数40573C。按F8执行到函数FindFirstFileA()调用前的位置。

第4篇 熊猫烧香逆向分析(中)_第17张图片

        可以看到,EAX存放的是拼接字符串的首地址。因为函数FindFirstFileA()的功能是查找指定目录的第一个文件或目录并返回它的句柄 。

        ​ 所以,程序调用该函数的目的是:查找“C:\Documents and Settings\Owner\桌面”目录下的"Desktop.ini"文件是否存在。

​         返回IDA,查看函数函数40573C、函数4057A4的执行流程图,可以发现,如果“C:\Documents and Settings\Owner\桌面”目录下的"Desktop.ini"文件存在,函数4057A4基本上只会调用FindFirstFileA()。故,函数4057A4的主要功能:检测文件是否存在。

 第4篇 熊猫烧香逆向分析(中)_第18张图片

         在IDA中,将函数4057A4重命名为“CheckFileExist”。接下来有:

第4篇 熊猫烧香逆向分析(中)_第19张图片

第4篇 熊猫烧香逆向分析(中)_第20张图片

根据调用函数CheckFileExis的结果,进行跳转,即:

  • 如果当前目录下Desktop_.ini文件不存在,程序直接跳转到408110处;

  • 如果当前目录下Desktop_.ini文件存在,那么就将该文件的文件属性调整为NORMAL ,且停止1ms后,

    将Desktop_.ini文件删除。

    其中有一个未知函数sub_40400CC,对其进行分析。

    注:正常情况下,在病毒没有运行时,是不会存在Desktop_.ini文件的。

5、函数sub_4040CC分析

        在IDA中,进入到函数sub_40400CC。

第4篇 熊猫烧香逆向分析(中)_第21张图片

         其参数[ebp+var_3C4],事实上3C4就是文件的路径 ,可见这个函数用于检测待删除的文件路径是否为空。那么就可以将sub_4040CC重命名为:CheckPath。

6、函数sub_4078E0分析

        在IDA中,进入函数sub_4078E0,可以发现该函数很长,且调用了很多新的函数,很难分析清楚该函数究竟干了些什么。那么可以先不管其具体实现细节,只看函数执行完后,它的参数或者寄存器里保存的地址发生了什么变化。

第4篇 熊猫烧香逆向分析(中)_第22张图片

 步过函数,可以看到:

第4篇 熊猫烧香逆向分析(中)_第23张图片

        该函数利用了很大的一片区域来写入了大量看似无意义的字符。结合右边分析出的ASCII码,发现这些可以理解为是一个暴力破解字典,病毒编写者企图利用暴力破解的方式,来攻破计算机中的某些验证机制。

        ​ 在IDA中,将sub_4078E0函数重命名为:WriteVirusInfoToMem 。

7、函数sub_403C44分析

        在OllyDbg中,跳转到函数附近,并且查看参数。

第4篇 熊猫烧香逆向分析(中)_第24张图片

         F7进入函数sub_403C44。

第4篇 熊猫烧香逆向分析(中)_第25张图片

        首先,将eax中保存的地址的值赋给edx,验证edx是否为空,为空,则将ZF位置1,然后执行跳转命令,函数就结束了。因此,将函数sub_403C44可以理解为标志位的设置。

        ​ 在IDA中,将函数sub_403C44重命名为:SetZeroFlag。

8、函数sub_403ECC分析

        在OD中跳转到函数参数位置。

第4篇 熊猫烧香逆向分析(中)_第26张图片

         查看[ebp-4]保存的地址处的内容,可以看到“MZP”,这里大致是保存了一个PE文件。如果从“MZP”看不出来是PE文件,将数据窗口往下拉,可以看到PE字样,从而确定是将这个PE文件的首地址赋值给这个EAX。

第4篇 熊猫烧香逆向分析(中)_第27张图片

 进入函数sub_403ECC

第4篇 熊猫烧香逆向分析(中)_第28张图片

        使用test命令,可以理解为:验证PE文件是否存在。

        ​ 按F8步过,这里跳转不成立,然后下一条语句:

        ​ mov eax,dword ptr [eax-4]

        ​ 注:由于本病毒程序是使用Delphi编写的,因此字符串的首地址减去4后,所取出的4个字节的内容就是此字符串的长度。

第4篇 熊猫烧香逆向分析(中)_第29张图片

        也就是说,eax中保存的是PE文件的文件长度。

        在IDA中将函数sub_403ECC重命名为:GetFileLen。

 

你可能感兴趣的:(病毒查杀,安全)