手修srv感染程序与工资管理系统的分析过程
本教程由学逆向Thx赞助播出(“哎呀我摔倒了要你们评分Thx给我才能起来{:5_187:}”)逆向前言:昨天鸽了那个插件,,今天补上,,插件的话,,大家测试有什么bug的话可以反馈,,我这边win8.1 x64测试没问题,,
但是速度方面比那个olly AD插件会略慢上大概02-0.4秒,,但是我认为可以接受,,因为AD插件的话感觉有问题了,,会导致od不稳定,,
所以我自己看了一下午od的插件手册,参考了VicPlugIn插件的写法,搞出来了,不是很nb,只是方便自己,我也想着有一天我的插件
可以成为别人od的标配,仅此而已,插件随意传播,,没有限制,,学习作品,大神见笑!插件见隐藏内容
插件功能:将主窗口,Log , 模块,内存,线程,断点,参考,堆栈,补丁,句柄,窗口,反汇编,等12个窗口最大化,,
逆向正文:
先来说手动修复被感染的文件的问题,其实那个srv的分析早就有人写了,,其实这个病毒难点就是反复感染,,和僵尸差不多,一咬就变,,
当然,,现在专杀工具早就出来了,但是我依旧不放心用,基本上感染了就全部格掉,,
难点的话,说白了还是找oep,如果是动态调试的话,你到达OEP的时间点,这个srv也已经释放并运行感染了,,所以要清除还得想办法静态到达OEP
但是今天的主角,是来自haier8917的逆向成品,而我刚好有未逆向的版本,,所以我提前知晓了oep,修复起来也就简单,,
先看感染的症状,现在基本上你感染了,如果电脑有杀毒都会报毒的,,这是一点,当然不排除有免杀版
第二,我们看区段
他会自动在exe程序的区段中添加一个名为rmnet的区段,所以清除的关键就是要删除这个区段,,然后把oep改回来,,
现在我们先看oep是多少,记住,千万千万不要手贱双击这个病原体,,否则你全盘要格掉,反正我是不放心,指不定什么时候又感染了,反反复复发作
首先知道了这个oep,然后打开lodepe的pe编辑器,加载这个病原体
先删除他的区段,让这个程序失效,这样的话你手贱双击了也不会感染
接着在入口点这里改回oep,这样就修复完成了,修复其实是不难,难的是怎么找到oep,因为你动态调试的话就直接被感染了,,
点保存和确定即可,,这样就完成了手修,其实这个方法早在分析帖还没出来我就知道了,但是我就是不知道怎么样能静态找到oep
哦对了,刚刚上图那个oep我填错了,应该是要填减去基址的值,一般来说基址都是00400000,所以oep的值0051FE734减去基址就等于1FE734
对,否则的话你不改成这个偏移,,都是运行不起来的,如果修复正常,用peid查看会变成
但是为了以防万一,,我这边的话还是不要直接运行了,,万一感染了也不好,就我个人而言,我认为这样已经是修复完成了,,
具体的话,大家可以去试一试,,如果你硬盘存在这种病毒,而又有一部分重要的程序你需要的,可以试试
这里只是介绍这种方法,,,也是自己偶然想到的
接着来讲逆向吧,,主要说他那个暗桩的点,,其实这个点也不是我找出来的
只是我在参考haier8917的逆向点,发现的,,可以说我盗版,,但是我还是选择发出来,我觉得我不懂我也想请教一下
不过我还有另外的思路,同时也想看看各位有何高见,,,
还是先看限制点,首先是登录界面
这是第一处,这里的显示隐藏好像是跟投递消息函数有关,不过具体没看
其次有明显的未注册字样,在登录后
**** Hidden Message *****
@haier8917 这学习氛围不错啊,给你们一个赞! 点个赞。{:5_117:} 谢谢楼主的无私奉献让你跟我学到了更多的分析方法 谢楼主的无私奉献,最近Shy教程好多,可以慢慢 学习 谢谢分享! 看看学习下 这个软件好像是阉割版本的 只改这四个地方还是未注册的 动物凶猛 发表于 2016-12-12 15:23
只改这四个地方还是未注册的
read.dll