专业丰富的破解论坛技术交流,提供软件安全,病毒分析,脱壳破解,安卓破解,加密解密等,由无数热衷于软件爱好者共同维护
 
发新帖
查看: 526|回复: 0

[技术文章] 十一节 逆向病毒分析(实战)

[复制链接]
玉面飞龙之王 发表于 2020-9-21 13:28:06 | 显示全部楼层
本帖最后由 玉面飞龙之王 于 2020-9-21 13:40 编辑

seg000:004D532F push esi
seg000:004D5330 call dword ptr [ebx+4]
seg000:004D5333 mov [ebx+30h], eax
;arg_0 + 30h 的地方保存 RegQueryValueExA 的地址
seg000:004D5336 add edi, 0B1h
;直接调整 edi 指向字符串“RegCloseKey”
seg000:004D533C push edi
seg000:004D533D push esi
seg000:004D533E call dword ptr [ebx+4]
seg000:004D5341 mov [ebx+34h], eax
;arg_0 + 34h 的地方保存 RegCloseKey 的地址
seg000:004D5344 jmp short loc_4D534A
;处理成功完成,函数返回 1。
seg000:004D5346 ;
---------------------------------------------------------------------------
seg000:004D5346
seg000:004D5346 loc_4D5346: ; CODE XREF:
sub_4D524A+CEj
seg000:004D5346 xor eax, eax
seg000:004D5348 jmp short loc_4D534C
seg000:004D534A ;
---------------------------------------------------------------------------
seg000:004D534A
seg000:004D534A loc_4D534A: ; CODE XREF:
sub_4D524A+FAj
seg000:004D534A mov al, 1
seg000:004D534C
seg000:004D534C loc_4D534C: ; CODE XREF:
sub_4D524A+BFj
seg000:004D534C ; sub_4D524A+FEj
seg000:004D534C pop edi
seg000:004D534D pop esi
seg000:004D534E pop ebx
seg000:004D534F pop ebp
seg000:004D5350 retn 0Ch
seg000:004D5350 sub_4D524A endp
到此,函数 sub_4D524A 的分析就完成了。很明显,该函数的主要作用是导入病毒需要
的一些 API 函数入口地址。在 idb 文件中,笔者将该函数重命名为 ImportMyFunc。现在依
据分析过程中红色的文字,我们还可以比较准确地
确定调用此函数时传入的三个参数的意义。
esi:字符串表基址
edi:数据段基址
[edi+20h]:一个指向函数地址表的指针,该表的前二个元素分别为 LoadLibraryA 和
GetProcAddress 的地址。过程中分别被替换为 GetTempPathW 和 GetLastError
的地址

快速回复 返回顶部 返回列表