病毒的专杀制作背后需要的工作都有哪些？ By:美夜赤月&心宇

美夜赤月 · 发表于 2024-7-21 03:25:15

本帖最后由美夜赤月于 2024-7-22 04:09 编辑

前几天，有位网上的同学找到我，说自己家里的电脑中了病毒，让我分析分析

所以，让我们来聊聊这款病毒都在电脑背后偷偷做了哪些手脚【可以参考哈勃或Virustotal做出的行为分析】
【这里不细说，因为我文采不太好，打字也累人。】
以及制作一款对这类专门针对性的专杀工具都要做哪些准备工作！
这里就简单说一下，这个病毒会感染电脑里所有 32位的 EXE【可执行文件】文件
和感染后该怎么分析被感染了哪些地方，接着根据分析，做出专杀工具。

首先拿到病毒后，我第一时间用了国外的Virustotal跟国内的哈勃分析系统做了病毒的行为分析
【Virustotal】https://www.virustotal.com/gui/file/ca185ee544ede3f271e1c4cc62e351dc024ba28e99ecf71041426876f0883b91/behavior
【哈勃分析系统】https://habo.qq.com/file/showdet ... 28IPFs6U2oHZg%3D%3D

接着我也拿到了未感染的样本，拉进了WinHex跟IDA进行了分析对比
分析1【对比PE文件头结构的变化】
分析图1.png

分析2【对比新增EP区段的变化】
分析图2.png

接着是分析出真正的程序入口点【OEP】
这部分是心宇提供，我没虚拟机，没敢对病毒样本做动态分析。

找出隐藏在代码里原始的OEP地址
OEP定位分析.png

接着可以发现新EP段代码跑完后会动态生成一个跳转【JMP】指令来跳回到原始的OEP地址
调用者完成后跳回原OEP执行.jpg

分析出原始OEP地址后就可以根据特征码来定位到该地址出现的地方
拿到特征码后就能为接下来做专杀工具提供更好的思路跟代码质量

这里我上传了两份病毒专杀工具的代码

一份是我自己的，另一份是心宇的
我的采用了最原始的读字节集定位来写

而心宇的采用了,PE结构体跟内存映射来写，比我的更加简洁
两份代码做了详细的注释，新手可以看看我的，大佬可以看看心宇的

赤月版代码
赤月.png

心宇版代码

本次开源心宇版的源代码，已经经过心宇的同意！
QQ截图20240721030646.png

另外附赠了病毒的样本以及未感染的原程序，但是也不要直接运行
为了防止误点到程序运行，感染的样本后缀名改成了.exo，未感染的改成了.exy
密码都在压缩包的标题里！

千万不要手欠运行感染后的样本！
千万不要手欠运行感染后的样本！
千万不要手欠运行感染后的样本！

病毒分析的详细过程以及样本地址：https://pan.xunlei.com/s/VO2GZPakdQK07yxv_p9f8f7JA1?pwd=manz# 提取码：manz

在这里提醒大家，电脑最好还是装个杀毒软件比较好，不然出现问题起来再去解决就很费时费力。

【美夜赤月】病毒专杀.e (21.34 KB, 下载次数: 36, 售价: 2 枚精币)

lixiugang · 发表于 3 天前

支持原创，谢谢分享！

light328 · 发表于 3 天前

谢谢分享谢谢分享

radeon3 · 发表于 3 天前

支持开源~！感谢分享

ooonly · 发表于 6 天前

支持开源~！感谢分享

糖甜的发苦 · 发表于 7 天前

zxxiaopi 发表于 2024-8-25 16:54
感谢分享！咋个能免sha呢？或者少杀！上传到VT，写的普通程序，居然TMD报毒39条，一共才76，艹 ...

做不到完全去除的，用库写的都有特征，除非就纯文字处理

xiaokang3458 · 发表于 7 天前

66666666666666666

eo18o7 · 发表于 2024-8-31 20:47:58

6666 感谢分享

linxingce · 发表于 2024-8-31 18:39:29

asdasdsads大大大阿萨德撒打算撒旦

cckj · 发表于 2024-8-31 08:24:53

厉害！佩服！~~~~

岚少 · 发表于 2024-8-29 18:15:39

66666666666666

		自动登录	找回密码
密码			注册

[易语言纯源码] 病毒的专杀制作背后需要的工作都有哪些？ By:美夜赤月&心宇

点评

评分

本帖被以下淘专辑推荐: