admin管理员组文章数量:1531748
2024年5月21日发(作者:)
这篇文章是在专杀工具写完之后的一些小小感想,关于PE感染和修复,
大牛飘过~
自某日不小心中了病毒,电脑中大部分EXE文件被感染,系统盘
system32目录下的病毒文件总也杀不掉,因为即使删掉了,每次运行了被
感染的程序之后还会再次生成。(关于此毒的详细资料,有兴趣的直接在百度搜索
""或"愤怒天使"即可)在网上求助无果,遂自己动手,研究了一下这个病毒的感
染方式,最终找到了恢复被感染文件的方法,下面将此过程分享给大家。
遇到这种感染型的病毒,恢复时需要解决几个问题。
第一个问题,感染后的文件能否恢复?
那么我们从被感染后的EXE运行情况来看看。以调用Winrar解压缩为例,可以正常
实现解压过程。但在解压后就应退出的Winrar仍在运行。如果用Process Explorer观察
进程树的话,会发现是Winrar本身又重新运行了一个Winrar进程来完成解压缩功能,而
解压完成后,第一个运行的Winrar仍在继续运行,用FileMon监视的话会发现它有大量
的文件访问操作,从访问的目录顺序和规律来看是在遍历并寻找EXE进行感染。而这两个
Winrar的路径是一样的,也就是说实现感染功能的和实现解压功能的是同一个程序,解压
功能仍然是被感染后的Winrar完成的,这说明一个问题:感染后的文件功能没有被破坏!
这非常重要,也是因为程序的功能没有被破坏才有下面的恢复过程。
第二个问题,此病毒是何种感染方式?
典型的感染方式有“夹心饼”式的捆绑感染,替换资源或添加资源式的感染,准确说
这些不算是“正宗”的PE感染。其它典型的方式有加新区段,写入shellcode(这里把病
毒自己注入的代码也称为shellcode),然后跳回原入口。还有一些高级的感染方式,不一
一列举。
为了分析这个病毒的感染方式,我将感染前后的进行对比,首先会发现文
件大小要增加,再用PEID(或其它同类工具)查看一下相关数据,首先发现入口所在区段
不一样了,由.text段变成了最后的.rsrc段,入口处代码也不一样了。既然感染跟区段有关,
那么就来看一下感染前后区段数据的变化:
感染前:
感染后:
版权声明:本文标题:PE感染逆向之修复(Serverx.exe专杀工具出炉手记) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1716301655a496661.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论