精易论坛

标题: 病毒的专杀制作背后需要的工作都有哪些？ By:美夜赤月&心宇 [打印本页]

作者: 美夜赤月 时间: 2024-7-21 03:25
标题: 病毒的专杀制作背后需要的工作都有哪些？ By:美夜赤月&心宇
本帖最后由美夜赤月于 2024-7-22 04:09 编辑

前几天，有位网上的同学找到我，说自己家里的电脑中了病毒，让我分析分析

所以，让我们来聊聊这款病毒都在电脑背后偷偷做了哪些手脚【可以参考哈勃或Virustotal做出的行为分析】
【这里不细说，因为我文采不太好，打字也累人。】
以及制作一款对这类专门针对性的专杀工具都要做哪些准备工作！
这里就简单说一下，这个病毒会感染电脑里所有 32位的 EXE【可执行文件】文件
和感染后该怎么分析被感染了哪些地方，接着根据分析，做出专杀工具。

首先拿到病毒后，我第一时间用了国外的Virustotal跟国内的哈勃分析系统做了病毒的行为分析
【Virustotal】https://www.virustotal.com/gui/file/ca185ee544ede3f271e1c4cc62e351dc024ba28e99ecf71041426876f0883b91/behavior
【哈勃分析系统】https://habo.qq.com/file/showdet ... 28IPFs6U2oHZg%3D%3D

接着我也拿到了未感染的样本，拉进了WinHex跟IDA进行了分析对比
分析1【对比PE文件头结构的变化】
分析图1.png

分析2【对比新增EP区段的变化】
分析图2.png

接着是分析出真正的程序入口点【OEP】
这部分是心宇提供，我没虚拟机，没敢对病毒样本做动态分析。

找出隐藏在代码里原始的OEP地址
OEP定位分析.png

接着可以发现新EP段代码跑完后会动态生成一个跳转【JMP】指令来跳回到原始的OEP地址
调用者完成后跳回原OEP执行.jpg

分析出原始OEP地址后就可以根据特征码来定位到该地址出现的地方
拿到特征码后就能为接下来做专杀工具提供更好的思路跟代码质量

这里我上传了两份病毒专杀工具的代码

一份是我自己的，另一份是心宇的
我的采用了最原始的读字节集定位来写

而心宇的采用了,PE结构体跟内存映射来写，比我的更加简洁
两份代码做了详细的注释，新手可以看看我的，大佬可以看看心宇的

赤月版代码
赤月.png

心宇版代码

本次开源心宇版的源代码，已经经过心宇的同意！
QQ截图20240721030646.png

另外附赠了病毒的样本以及未感染的原程序，但是也不要直接运行
为了防止误点到程序运行，感染的样本后缀名改成了.exo，未感染的改成了.exy
密码都在压缩包的标题里！

千万不要手欠运行感染后的样本！
千万不要手欠运行感染后的样本！
千万不要手欠运行感染后的样本！

病毒分析的详细过程以及样本地址：https://pan.xunlei.com/s/VO2GZPakdQK07yxv_p9f8f7JA1?pwd=manz# 提取码：manz

在这里提醒大家，电脑最好还是装个杀毒软件比较好，不然出现问题起来再去解决就很费时费力。

2024-07-21更新最新优化代码
更新特点
1.减少代码量，优化运行速度
2.修复后校验入口地址是否一致3.尽量做到与PE结构一致，但还是采用读数据的形式
如果看不懂最初我那版的源码，可以看看优化后的源码
源代码图
未标题-2 拷贝.png

运行效果图

【心宇】病毒专杀.e

24.17 KB, 下载次数: 45, 下载积分: 精币 -2 枚

售价: 2 枚精币 [记录]

【美夜赤月】病毒专杀_优化.e

21.79 KB, 下载次数: 40, 下载积分: 精币 -2 枚

售价: 2 枚精币 [记录]

20240721

作者: 艺压当行人 时间: 2024-7-21 03:32
学习啦

作者: 美夜赤月 时间: 2024-7-21 03:34
补一下IDA的分析图

作者: zz1318 时间: 2024-7-21 04:05

半夜来学习

作者: dzscuz 时间: 2024-7-21 04:16
看看，学学，支持楼主

作者: 微信lr 时间: 2024-7-21 04:18
学习学习

作者: pipicool 时间: 2024-7-21 05:24
学习一下

作者: cqcc 时间: 2024-7-21 06:56
好贴！支持楼主！

作者: 飞鱼软件 时间: 2024-7-21 07:29
感谢分享赞一个！

作者: 查过 时间: 2024-7-21 07:39
已经顶贴，感谢您对论坛的支持！

作者: 豆豆灰常开心 时间: 2024-7-21 07:44
已经顶贴，感谢您对论坛的支持！

作者: 为了生活 时间: 2024-7-21 07:50
看看学习一下哦

作者: 285275928 时间: 2024-7-21 08:13
已经顶贴，感谢您对论坛的支持！

作者: jysoft2022 时间: 2024-7-21 08:17
谢谢分享

作者: bianyuan456 时间: 2024-7-21 08:41
已经顶贴，感谢您对论坛的支持！

作者: 7ian 时间: 2024-7-21 08:55
66666

作者: xiaomiaom 时间: 2024-7-21 08:56
看看,虽然看不懂

作者: 小虎来了 时间: 2024-7-21 09:14
很好很强悍，坚持下去哦~

作者: year1970 时间: 2024-7-21 09:20
感谢分享

作者: 咔咔云 时间: 2024-7-21 09:31
很好很强悍，坚持下去哦~

作者: fyh505099 时间: 2024-7-21 09:54
膜拜都是大佬级别,感谢分享学习学习

作者: jingyigg 时间: 2024-7-21 10:13
支持大佬的分享，虽然以我的水平看不懂

作者: wjswzj0 时间: 2024-7-21 10:30
支持开源~！感谢分享

作者: Fate 时间: 2024-7-21 10:35

感谢分享

作者: qq73s5456 时间: 2024-7-21 10:39
好铁，值得学习

作者: 重新归零 时间: 2024-7-21 10:42
感谢大佬，遇到问题只会重装

作者: renzhanxin 时间: 2024-7-21 11:17
可以可以学习学习

作者: 猪滴寳貝哝 时间: 2024-7-21 11:19
感谢分享~

作者: 夕木柠昔 时间: 2024-7-21 11:33
太牛了,十几年前我还用过您的asm转易语言

作者: sunhechao 时间: 2024-7-21 11:37
真正的大佬出现了

作者: 笨来无一悟 时间: 2024-7-21 11:42
杀杀杀...

杀杀这帮投毒的天杀的

功德无量

作者: 网络注册络员 时间: 2024-7-21 13:12
支持一下楼主

作者: hjinpwhe1 时间: 2024-7-21 13:26
学习学习

作者: qqmqqg 时间: 2024-7-21 14:53
666666666666666666666

作者: xf702 时间: 2024-7-21 15:09
易出来的EXE有么有什么方法规避被杀。。。

作者: 我们都爱易语言 时间: 2024-7-21 15:18
看看帖子里藏了啥好东西~~~

作者: KEY心碎 时间: 2024-7-21 17:26
支持开源~！感谢分享

作者: 財財 时间: 2024-7-21 20:03
新技能已get√

作者: ttggnn 时间: 2024-7-21 20:49
谢谢分享

作者: 金叶 时间: 2024-7-21 22:02
还有病毒样本吗什么样的病毒都行我收集点病毒数据

作者: 唯美主义 时间: 2024-7-21 22:08
谢谢楼主分享

作者: 艾玛克138 时间: 2024-7-21 22:53
刚好学到这，东西拿走

作者: baitso 时间: 2024-7-21 22:55
感谢分享，很给力！~

作者: chinapk 时间: 2024-7-21 23:02
现问题起来再去解决就

作者: q132130 时间: 2024-7-21 23:58
这是自身程序检测是否被感染么

作者: 515889127 时间: 2024-7-22 00:08

感谢分享

作者: 请按F1 时间: 2024-7-22 00:15
66666666666666666666666666666

作者: 135544 时间: 2024-7-22 00:33
支持开源~！感谢分享

作者: freeocean 时间: 2024-7-22 01:18
赠人玫瑰手有余香

作者: 你可知嘛噶 时间: 2024-7-22 01:27
赠人玫瑰手有余香

作者: FUYUEPC 时间: 2024-7-22 05:40
让江小白来看看帖子里藏了啥好东西~~~

作者: xmcx888 时间: 2024-7-22 09:03
感谢分享，很给力！~

作者: 一指温柔 时间: 2024-7-22 09:18
感谢你的支持，精易有你更精彩

作者: llmmyy2018 时间: 2024-7-22 10:19
减少代码量，优化运行速度

作者: jiang910615 时间: 2024-7-22 10:26
学习学习

作者: 大兔崽子 时间: 2024-7-22 10:43
太强了，大佬们恐怖如斯，不知自己何时才能成长起来

作者: llmmyy2018 时间: 2024-7-22 11:00

减少代码量，优化运行速度

作者: long5tianxia 时间: 2024-7-22 11:05
厉害了。

作者: fengshou 时间: 2024-7-22 11:53
想看看

作者: wiley 时间: 2024-7-22 12:05
前排支持

作者: shuya1 时间: 2024-7-22 12:14
感谢你的支持，精易有你更精彩

作者: 该死dē蚊子 时间: 2024-7-22 13:04
感谢分享哦。。

作者: cf2010 时间: 2024-7-22 13:25
专业，写代码楼主是专业的

作者: GS小东 时间: 2024-7-22 13:34
这代码看得真舒服

作者: 1043603367 时间: 2024-7-22 13:50
大佬，代码配色发一下

作者: 虚vs伪 时间: 2024-7-22 14:06
感谢分享，学习了

作者: lm88818 时间: 2024-7-22 15:34
感谢分享，很给力！~

作者: 深爱者 时间: 2024-7-22 20:29
支持开源！感谢分享，论坛有你更精彩~

作者: awenyewu 时间: 2024-7-22 20:41
支持支持

作者: 梦想ol 时间: 2024-7-22 21:02
感谢分享，很给力！~

作者: 285275928 时间: 2024-7-22 23:14
感谢分享，很给力！~

作者: 一剑磨十年 时间: 2024-7-23 08:28
行家一出手就知有没有!

作者: 汗水人家 时间: 2024-7-23 08:52
易语言也有自己的杀毒软件了哦也

作者: 3212867761 时间: 2024-7-23 09:53
感谢分享，很给力！~

作者: 一指温柔 时间: 2024-7-23 10:12
感谢分享，很给力！~

作者: 0bing0 时间: 2024-7-23 10:44
看看学习一下

作者: 憨憨问号 时间: 2024-7-23 12:15
我草，这才是真正的高手吗，膜拜

作者: sdif000 时间: 2024-7-23 13:21

作者: 光影魔术 时间: 2024-7-23 13:27
感谢分享源码

作者: fdassd 时间: 2024-7-23 15:44
优秀感谢恩祥...

作者: 忧郁之子 时间: 2024-7-23 16:18
牛人啊，看了半天嫩是没看懂，哎

作者: 小七喜 时间: 2024-7-23 18:53
捷克狼犬到我家来考勤记录的情况决定权来看

作者: 龙傲天f 时间: 2024-7-23 19:25
感谢分享，很给力！~

作者: byboge 时间: 2024-7-23 19:41
感谢分享，很给力！

作者: wlqc 时间: 2024-7-23 19:46
这个真心值得学习参考了。可惜提供的信息太少。没点基础是完全看不懂！

作者: 歧途じ绝筱伦ジ 时间: 2024-7-23 20:24
学习下，谢谢分享

作者: Peerless 时间: 2024-7-23 20:52

学习下谢谢

作者: 小王612 时间: 2024-7-24 09:38
66666666666666666666666666666666666666

作者: please 时间: 2024-7-24 09:39
感谢分享，支持开源！！！

作者: 高手95 时间: 2024-7-24 15:27
好用吗？请问

作者: xiaoniu1230 时间: 2024-7-24 15:34
感谢分享赞一个！

作者: 阮少小哥哥 时间: 2024-7-24 17:53
感谢分享，很给力！~

作者: cwgwww 时间: 2024-7-24 20:37
6啊~ YYDS~！

作者: 784326742 时间: 2024-7-24 22:13
总感觉有可能会损坏文件

作者: AFK 时间: 2024-7-24 22:49
这才是专家技术人才大佬，我们只会如果如判断计次循环

作者: ptqy 时间: 2024-7-24 23:32
感谢分享，很给力！~

作者: wuyanqing187 时间: 2024-7-25 08:48
大佬，这是什么字体，求字体

作者: abc1203 时间: 2024-7-25 11:04
66666666666666666666666666666666666

作者: 帅怨 时间: 2024-7-25 17:39
谢谢分享

作者: Shanks 时间: 2024-7-26 09:17

欢迎光临精易论坛 (https://bbs.125.la/)