十七节 逆向病毒分析(实战)

玉面飞龙之王

;模块加载失败，则直接返回 0
seg000:004D53CE mov edx, [ebp+arg_C]
seg000:004D53D1 add edx, 0F5h
seg000:004D53D7 push edx
;查询字符串表，可知 edx 指向字符串“Initiate”
seg000:004D53D8 push eax
;eax: 刚加载模块的基址
seg000:004D53D9 call dword ptr [ebx+4]
;查询函数地址表，得知此处调用的是 1 号函数 GetProcAddress,
;明显这里要取得刚加载模块中导出函数 Initiate 的地址
seg000:004D53DC test eax, eax
seg000:004D53DE jz short loc_4D53ED
;如果获取 Initiate 函数地址失败，直接返回 0
seg000:004D53E0 push [ebp+arg_8]
;参数 0（数据段基址 arg_8）压栈
seg000:004D53E3 call eax
;调用 Initiate 函数，这里可知 Initiate 函数有一个参数，即指向数据段的指针
seg000:004D53E5 test al, al
seg000:004D53E7 jz short loc_4D53ED
seg000:004D53E9 mov al, 1
;如果 Initiate 函数返回 0，则返回 0，否则返回 1
seg000:004D53EB jmp short loc_4D53EF
seg000:004D53ED
seg000:004D53ED
seg000:004D53ED loc_4D53ED: ; CODE XREF:
sub_4D53BE+Ej
seg000:004D53ED ; sub_4D53BE+20j ...
seg000:004D53ED xor eax, eax
seg000:004D53EF
seg000:004D53EF loc_4D53EF: ; CODE XREF:
sub_4D53BE+2Dj
seg000:004D53EF pop ebx
seg000:004D53F0 pop ebp
seg000:004D53F1 retn 10h
seg000:004D53F1 sub_4D53BE endp
至此，函数 sub_4D53BE 就分析完成了，明显，该函数的主要功能是加载输入缓冲区中指定的模块，并以数据段基址为唯一参数调用其导出函数 Initiate。在 idb 文件中，笔者把此函数重命名为 CheckAndCallInitiate。需要指出的是，这里的数据段被用作所谓的“协议”数据，因为加载的模块引用了此数据段。所以，对于该数据段的最精确的分析，要在分析此函数中加载的模块的过程中进行，最后，给出此函数的伪码：
DWORD CheckAndCallInitiate ( IN LPBYTE ModuleName ,IN LPVOID DataBase)
{