搜索

[8457] 2014-11-28_金玉其外败絮其中:百度杀毒“雪狼引擎”逆向分析

文档创建者:s7ckTeam
浏览次数:42
最后更新:2025-01-17
2014-11-28_金玉其外败絮其中:百度杀毒“雪狼引擎”逆向分析   F r e e B u f   2 0 1 4 - 1 1 - 2 8 & 1 B A V 3 . 0 . 0 . 4 5 1 7 2 3 4 便 2 0 0 0 X 齿 &
M A L W A R E 1 B 0   A E   C E   D 2   D 6   D 0   B 9   D 8   B 4   E 5 F I R S T _ W O R D S E C O N D _ D W O R D T H R E E _ S C R I P T _ D A T A 2 S M _ V D F 1 3 3 0 X 4 0 W O R D W O R D D W O R D I D I D I D 4 5   I D _ 0 0 - > 1 - > 2 - > 3 0 - > 4 > 5 0 - > 4 > 6 3 0 p u s h   e b p 4 4 5 I   A M   M A L W A R E ! 6 I   A M   V I R U S ! 0 4 5 ( p u s h   e b p ) & ( 4 ) & ( I   A M   M A L W A R E ! )
0 4 6 ( p u s h   e b p ) & ( 4 ) & ( I   A M   V I R U S ! ) 4 - > 4 便 6 W i n 3 2 . T r o j a n . D e l f . a W o r d   O P 0 x 6 4 6 4 s i g n   c o u n t 0 0 0 0 0 0 0 1 i d x 0 0 0 0 0 3 B C i d y 0 0 0 0 0 3 5 1 M a t c h _ D w o r d 7 5 6 2 6 5 6 9   V i r n a m e W i n 3 2 . T r o j a n . D e l f . a M e t h o d   S i z e 0 0 0 0 0 0 0 C s t e p 1 2 6 9   6 5   6 2   7 5   6 4   6 4   7 9 W i n 3 2 . T r o j a n . B H O . a W o r d   O P 0 x 2 D 4 2 s i g n   c o u n t 0 0 0 0 0 0 0 1 i d x 0 0 0 0 0 3 E 1 i d y 0 0 0 0 0 3 3 7 M a t c h _ D w o r d 4 5 4 2 3 6 3 8   V i r n a m e W i n 3 2 . T r o j a n . B H O . a M e t h o d   S i z e 0 0 0 0 0 0 0 C s t e p 1 2 3 8   3 6   4 2   4 5   4 2   2 D   3 4   4 4   3 2   3 8   2 D   3 4   3 5   3 0   3 6   2 D   4 1   3 6   4 2   4 1   2 D   3 8   4 4   3 0   3 4   3 6   3 6   3 6   3 3   3 8   4 2   3 5   3 3 B a s e . R e c o r d . I n t e r n e t E x p l o r e r . a W o r d   O P 0 x 6 E 7 2 s i g n   c o u n t 0 0 0 0 0 0 0 2 i d x 0 0 0 0 0 0 3 0 i d y 0 0 0 0 0 0 0 3 M a t c h _ D w o r d 6 5 7 4 6 E 4 9 V i r n a m e B a s e . R e c o r d . I n t e r n e t E x p l o r e r . a M e t h o d   S i z e 0 0 0 0 0 0 0 C s t e p 1 2 4 9   6 E   7 4   6 5   7 2   6 E   6 5   7 4   2 0   4 5   7 8   7 0   6 C   6 F   7 2   6 5   7 2 W i n 3 2 . T r o j a n . N i m n a l . e W o r d   O P 0 x 7 4 0 4 s i g n   c o u n t 0 0 0 0 0 0 0 1 i d x 0 0 0 0 0 1 E E i d y 0 0 0 0 0 7 9 7 M a t c h _ D w o r d 4 3 3 9 0 5 7 5   V i r n a m e W i n 3 2 . T r o j a n . N i m n a l . e M e t h o d   S i z e 0 0 0 0 0 0 8 8 s t e p 1 退 F F F F F F E 4 s t e p 2 2 8 A   1 0   8 3   s t e p 3   A N D K E Y 0 x F 0 A n d D a t a E 0   s t e p 4 2 0 1   8 8   1 4   s t e p 5   A N D K E Y 0 x F 0 A n d D a t a 0 0   s t e p : 6 2 : 8 3   C 0   0 1   8 5   s t e p 7 B u f 0 0 0 0 0 0 0 1 s t e p 8 2 7 5   F 1   8 B   D F   B 8   s t e p 9 B u f 0 0 0 0 0 0 0 4 s t e p 1 0 2 8 1   3 B   s t e p 1 1 B u f 0 0 0 0 0 0 0 4 s t e p 1 2 2 7 5   0 5   3 9   4 3   0 4   7 4   0 5   8 3   C 3   0 1   E B   E E 7 2 1 . W O R D , 2 . D W O R D 3 . 3 I D X
S E C T 0 V I R U S 1 J C C P S 2 S V _ V D F 4 3 B A V R E G [ 0 ] ~ B A V R E G [ 9 ]   B A V R E G [ 0 ] X 8 6   E A X B A V _ F L A G S   X 8 6   F L A G S   4 W i n 3 2 . V i r u s . L o a d e r . u i d 0 0 0 0 0 0 6 D W i n 3 2 . V i r u s . L o a d e r . u B A V R E G [ 0 ]   =   B A V E _ G e t E P _ S e c t i o n _ I n d e x ( ) ; B A V _ F L A G S   =   B A V R E G [ 0 ]   -   0 x 0 0 0 0 0 0 0 0 ; C h e c k _ B A V _ F L A G S   = =   0   { R e t n S c a n   F A L S E } / / i f ( B A V E _ G e t E P _ S e c t i o n _ I n d e x ( )   = =   0 ) { r e t n   F A L S E ; } / / E P 0 B A V R E G [ 0 ]   =   B A V E _ G e t A d d r e s s O f E n t r y P o i n t _ R V A ( ) ; B A V R E G [ 9 ]   =   B A V R E G [ 0 ] ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   6 0   6 4   A 1   3 0   0 0   0 0   0 0   8 B   4 0   0 C   8 B   ; A d d   O f f s e t : 0 0 0 0 0 0 0 1 ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   1 C   A D   ; C h e c k _ B A V _ F L A G S   = =   1   { R e t n S c a n   F A L S E } ; / / O E P 2 6 0   6 4   A 1   3 0   0 0   0 0   0 0   8 B   4 0   0 C   8 B   ? ?   1 C   A D B A V R E G [ 0 ]   + =   0 x 0 0 0 0 0 0 1 5 ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   8 B   4 5   3 C   8 B   5 4   0 5   7 8   ; C h e c k _ B A V _ F L A G S   = =   1   { R e t n S c a n   F A L S E } ; / / + 0 × 1 5   8 B   4 5   3 C   8 B   5 4   0 5   7 8 B A V R E G [ 0 ]   + =   0 x 0 0 0 0 0 0 7 4 ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   6 1   E 9   ; C h e c k _ B A V _ F L A G S   = =   0   { G o t o   _ 0 0 0 0 0 0 A 0 } ; / / + 0 × 7 4   6 1   E 9     _ 0 0 0 0 0 0 A 0 : B A V R E G [ 0 ]   + =   0 x 0 0 0 0 0 0 0 B ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   6 1   E 9   ; C h e c k _ B A V _ F L A G S   = =   0   { G o t o   _ 0 0 0 0 0 0 7 9 } ; / / + 0 x B   6 1   E 9     _ 0 0 0 0 0 0 7 9 : B A V R E G [ 0 ]   + =   0 x 0 0 0 0 0 0 0 9 ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   6 1   E 9   ; C h e c k _ B A V _ F L A G S   = =   0   { G o t o   _ 0 0 0 0 0 0 5 2 } ; / / + 0 × 9   6 1   E 9     _ 0 0 0 0 0 0 5 2 : B A V R E G [ 0 ]   + =   0 x 0 0 0 0 0 0 0 7 ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   6 1   E 9   ; C h e c k _ B A V _ F L A G S   = =   0   { G o t o   _ 0 0 0 0 0 0 2 B } ; / / + 0 × 7   6 1   E 9     _ 0 0 0 0 0 0 2 B : B A V R E G [ 0 ]   + =   0 x 0 0 0 0 0 0 4 5 ; B A V _ F L A G S   =   M a t c h D a t a   R V A : B A V R E G [ 0 ] ,   6 1   E 9   ; C h e c k _ B A V _ F L A G S   = =   0   { G o t o   _ 0 0 0 0 0 0 0 4 } ; / / + 0 × 4 5   6 1   E 9     _ 0 0 0 0 0 0 0 4 : { R e t n S c a n   F A L S E } ; / / _ 0 0 0 0 0 0 A 0 : { R e t n S c a n   T R U E } ; / / _ 0 0 0 0 0 0 7 9 : { R e t n S c a n   T R U E } ; / /
_ 0 0 0 0 0 0 5 2 : { R e t n S c a n   T R U E } ; / / _ 0 0 0 0 0 0 2 B : { R e t n S c a n   T R U E } ; / / _ 0 0 0 0 0 0 0 4 : { R e t n S c a n   T R U E } ; / / V i r u s & A n t i - V i r u s , 1 2 2 1 使 M Y C C L 2 1 2 3 3 P D B 4 5 v i r u s . e x e v i r u s _ b y p a s s . e x e 6 B Y P A S S & 使 6 3 h t t p : / / b b s . k a f a n . c n / f o r u m . p h p ? m o d = v i e w t h r e a d & t i d = 1 7 9 0 0 2 1 h t t p : / / b b s . k a f a n . c n / f o r u m . p h p ? m o d = v i e w t h r e a d & t i d = 1 7 9 0 0 1 6 h t t p : / / b b s . k a f a n . c n / f o r u m . p h p ? m o d = v i e w t h r e a d & t i d = 1 7 8 9 9 7 0
h t t p : / / b b s . k a f a n . c n / f o r u m . p h p ? m o d = v i e w t h r e a d & t i d = 1 7 8 9 9 6 8 h t t p : / / b b s . k a f a n . c n / f o r u m . p h p ? m o d = v i e w t h r e a d & t i d = 1 7 8 9 8 8 9 h t t p : / / b b s . k a f a n . c n / f o r u m . p h p ? m o d = v i e w t h r e a d & t i d = 1 7 8 9 8 6 7 h t t p : / / b b s . k a f a n . c n / f o r u m . p h p ? m o d = v i e w t h r e a d & t i d = 1 7 8 9 9 6 5 1 1 . 4 G 2 . 3 6 0 B D 3 . ( 6 3 ) 2 3 6 0
3 & 4 g 使 广 [ / m o n k e y c z 稿 F r e e B u f ]
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理