作品发布     邀请码    设为首页  收藏 

当前位置:文章病毒 → 文章内容 >> 一个简单的PE Append感染型病毒手工修复


一个简单的PE Append感染型病毒手工修复

更新时间:2011-5-8 3:33:32   作者:华中帝国整理  来源:华中帝国
  PE_DOWNEXEC.O是一个感染型样本,该病毒会感染exe文件,并新加一个节,节名为hhqg,然后病毒会修改exe文件的eip,指向这个新节,执行完毕后重新跳回原来的eip。
  PE_DOWNEXEC.O是一个感染型样本,该病毒会感染exe文件,并新加一个节,节名为hhqg,然后病毒会修改exe文件的eip,指向这个新节,执行完毕后重新跳回原来的eip。
  下面我们将手工修复被病毒感染的文件。

  OD载入,我们在text段加上内存访问断点:

  然后按F9,执行到以下位置:

  因此断定004012A0这个位置为eip。
  下面我们来看看这个新节做了什么事情。
  OD重新载入,单步到以下位置,发现一个函数:

  F7进入,继续单步,发现函数:

  F7进入,单步:

  F7进入,单步:

  F7进入,单步:

  好,到这里我们发现了关键代码,新节里调用了Loadlibrary和GetProcAddress,先后获得了WinExeC和URLDownloadToCacheFileA函数,我们查看栈里面有什么内容:

  好,这里就真相大白了,新节的目的就是从网上下载一个exe文件,然后调用winexe执行。
  下面我们来手动修复:
  使用LoadPE载入这个被感染的文件,选中这个新节,删除掉:

  然后修复原来的EIP:

  点击保存、确定。
  到这里还没有完成,这样的exe是不能运行的,我们必须对EXE重建:

  好了,这样简单的手工修复就完成了,点击运行,ok没问题,而且因为没了新节的代码,执行速度也快了很多:

   免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

责任编辑:华中帝国        



本文引用网址: 

一个简单的PE Append感染型病毒手工修复的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码