手修srv感染程序与工资管理系统的分析过程

本教程由学逆向Thx赞助播出（“哎呀我摔倒了要你们评分Thx给我才能起来”）

逆向前言：昨天鸽了那个插件,,今天补上,,插件的话,,大家测试有什么bug的话可以反馈,,我这边win8.1 x64测试没问题,,
但是速度方面比那个olly AD插件会略慢上大概02-0.4秒,,但是我认为可以接受,,因为AD插件的话感觉有问题了,,会导致od不稳定,,
所以我自己看了一下午od的插件手册，参考了VicPlugIn插件的写法，搞出来了，不是很nb，只是方便自己,我也想着有一天我的插件
可以成为别人od的标配，仅此而已，插件随意传播,,没有限制,,学习作品,大神见笑！插件见隐藏内容

插件功能：将主窗口，Log , 模块，内存，线程，断点，参考，堆栈，补丁，句柄，窗口，反汇编，等12个窗口最大化,,

逆向正文：
先来说手动修复被感染的文件的问题，其实那个srv的分析早就有人写了,,其实这个病毒难点就是反复感染,,和僵尸差不多，一咬就变,,
当然,,现在专杀工具早就出来了,但是我依旧不放心用,基本上感染了就全部格掉,,
难点的话,说白了还是找oep，如果是动态调试的话，你到达OEP的时间点，这个srv也已经释放并运行感染了,,所以要清除还得想办法静态到达OEP
但是今天的主角，是来自haier8917的逆向成品，而我刚好有未逆向的版本,,所以我提前知晓了oep，修复起来也就简单,,

先看感染的症状，现在基本上你感染了，如果电脑有杀毒都会报毒的,,这是一点，当然不排除有免杀版
第二，我们看区段

他会自动在exe程序的区段中添加一个名为rmnet的区段，所以清除的关键就是要删除这个区段,,然后把oep改回来,,
现在我们先看oep是多少，记住，千万千万不要手贱双击这个病原体,,否则你全盘要格掉,反正我是不放心，指不定什么时候又感染了，反反复复发作

首先知道了这个oep，然后打开lodepe的pe编辑器，加载这个病原体

先删除他的区段，让这个程序失效，这样的话你手贱双击了也不会感染

接着在入口点这里改回oep，这样就修复完成了，修复其实是不难，难的是怎么找到oep，因为你动态调试的话就直接被感染了,,

点保存和确定即可,,这样就完成了手修，其实这个方法早在分析帖还没出来我就知道了,但是我就是不知道怎么样能静态找到oep
哦对了，刚刚上图那个oep我填错了，应该是要填减去基址的值，一般来说基址都是00400000，所以oep的值0051FE734减去基址就等于1FE734


对，否则的话你不改成这个偏移,,都是运行不起来的，如果修复正常，用peid查看会变成

但是为了以防万一,,我这边的话还是不要直接运行了,,万一感染了也不好，就我个人而言，我认为这样已经是修复完成了,,
具体的话，大家可以去试一试,,如果你硬盘存在这种病毒，而又有一部分重要的程序你需要的，可以试试
这里只是介绍这种方法,,,也是自己偶然想到的

接着来讲逆向吧,,主要说他那个暗桩的点,,其实这个点也不是我找出来的
只是我在参考haier8917的逆向点，发现的,,可以说我盗版,,但是我还是选择发出来，我觉得我不懂我也想请教一下

不过我还有另外的思路,同时也想看看各位有何高见,,,
还是先看限制点，首先是登录界面

这是第一处，这里的显示隐藏好像是跟投递消息函数有关，不过具体没看
其次有明显的未注册字样，在登录后

游客，如果您要查看本帖隐藏内容请回复

@haier8917 这学习氛围不错啊，给你们一个赞！

点个赞。

谢谢楼主的无私奉献让你跟我学到了更多的分析方法

谢楼主的无私奉献，最近Shy教程好多，可以慢慢 学习

谢谢分享！

看看学习下

这个软件好像是阉割版本的

只改这四个地方还是未注册的

动物凶猛 发表于 2016-12-12 15:23
只改这四个地方还是未注册的

read.dll