結果 技術分享 病毒分析 書籍 com 並不會 反匯編 如果 .exe

標題：熊貓燒香病毒分析

作者：斷橋煙雨舊人傷

參考書籍：《C++反匯編與逆向分析技術揭秘》

0x00 前述

　　為了培養我們獨自分析病毒能力，老師發了一個病毒文件給我們分析，並要求寫一份病毒分析報告，正因為這是我第一次寫這種報告，所以我打算把過程記錄下來。

0x01 初步分析

病毒文件如下：

由上圖可知，該文件為一個 vir 文件，很明顯是一份病毒文件，為了探知原病毒文件的真實格式，這裏我用了一個在線檢測 vir 文件的第三網站，檢測結果如下：

由圖可知，該文件有 52.9% 概率為 win32 可執行格式，也就是 exe 格式，所以把它的後綴改為 exe 格式，不出所料，改完後為如下：

看到這，你們也明白這是著名一時的熊貓燒香病毒，切忌，不要在真機下直接雙擊，後果自負。把它拖到虛擬機裏，按照以往的套路，先查殼，結果如下：

由上圖可知，該病毒加了一個 FSG 殼，版本 2.0，如果你不放心，可以用其他查殼軟件對此進行查殼，從中再做出決定。我們知道，FSG 殼 為壓縮殼，你可以用脫殼機去脫，你也可以手工脫，這裏我用手工方式對其進行脫殼，順便提升下自己的脫殼能力。

0x02 手脫 FSG 殼

把 xiongmao.exe 拖放到 OD 中，如下：

然後一路 F8 下去，會發現一直處在一個來回循環中，經過初步分析，程序在地址 0x004001D1 和 0x004001D9 處之間在修復 IAT 表，如下：

在修復 IAT 表完成後，需將值 0x7FFFFFFF 依次修改為 0，如下：

待殼修復完成後，在 JMP 處按 F7 跳轉至 OEP 處，並按 Ctrl + A 強制分析，如下：

地址為 0x0040D278，我們用 OD 插件 OllyDump 脫殼，將入口點地址修正為 0xD278，如下：

將文件名命名為 xiongmao1.exe，這時雙擊它並不會直接運行，如下：

此時我們需要手動來修復 IAT 表，打開 Import REC，我們借助這個工具來對 IAT 表進行修復，選擇 xiongmao.exe，如下：

選擇剛剛 Dump 出來的文件，如下：

之後，會生成 xiongmao1_.exe 文件，我們再對其進行查殼，如下：

由此可見，這是用 Delphi 編寫的病毒。那麽，脫殼就到此結束。

熊貓燒香病毒分析