二节 逆向病毒分析(实战)

玉面飞龙之王

环境配置
反汇编：IDA 6.1
调试器：OD 1.1
调试环境：VMware + xp sp3（避免 ASLR 的干扰）
样本提取
附件中文件 chrome.exe.virus 是被感染过的 chrome 主程序。我们就从这个开始本次病毒
分析之旅吧。
先用 IDA 载入，入口点部分代码如下：

.lif_:004D5000
.lif_:004D5000 public start
.lif_:004D5000 start:
.lif_:004D5000 nop
.lif_:004D5001 nop
.lif_:004D5002 push 52FD874Ch
.lif_:004D5007 pop ecx
.lif_:004D5008 push (offset loc_4D5022+2)
.lif_:004D500D pop edx
.lif_:004D500E nop
.lif_:004D500F push 598h
.lif_:004D5014 pop esi
.lif_:004D5015 nop
.lif_:004D5016
.lif_:004D5016 loc_4D5016: ; CODE XREF: .lif_:004D5026j
.lif_:004D5016 push dword ptr [edx+esi]
.lif_:004D5019 xor [esp], ecx
.lif_:004D501C pop dword ptr [edx+esi]
.lif_:004D501F nop
.lif_:004D5020 nop
.lif_:004D5021 dec esi
.lif_:004D5022
.lif_:004D5022 loc_4D5022: ; DATA XREF: .lif_:004D5008o
.lif_:004D5022 sub esi, 3
.lif_:004D5025 nop
.lif_:004D5026 jnz short loc_4D5016
.lif_:004D5028 movsb
.lif_:004D5029 cli
.lif_:004D502A cld

仔细观察这段代码，很显然从 004D5028 处以后为非正常的垃圾指令。我们从入口点
004D5000 处开始分析代码，看看它究竟做了什么。

push 52FD874Ch
pop ecx
这两条指令等价于 mov ecx,52FD874Ch
同样，还有类似的变形。
push dword ptr [edx+esi]
xor [esp], ecx
pop dword ptr [edx+esi]
这三条指令等价于 xor [edx+esi],ecx
dec esi