菜鸟也能做专杀——AntiVirus Engineer入门介绍及应用实例

ximo

原帖由 tawny2008 于 2009-4-4 23:33 发表
唉，牛年牛病毒真多，不过我觉得名字并不重要

名字的确不重要，比如年初的那木马，360叫犇牛，金山叫猫癣。
其实用这种名字只是更形象吧。

tawny2008

有什么形象的，什么表现是形象？

ximo

原帖由 tawny2008 于 2009-4-4 23:41 发表
有什么形象的，什么表现是形象？

名字就是一种代表，为了让更多的人记住，仅此而已。
比如犇牛，形象的表示了这个木马感染人群之大，下载的木马数量之大，危害之大。
你非得同我说的“形象”2字来咬文嚼字那我也没什么好说的。
还有，金山叫猫癣是有原因的，铁军的博客上有介绍。

[ 本帖最后由 ximo 于 2009-4-4 23:45 编辑 ]

tawny2008

哦，勉强说得过去吧，呵呵
你不关心这个病毒是用什么方法关掉冰刃？

backway

来晚了 支持下
有时间再试试。

ximo

简单的跟了下，发现只是查找窗口来结束的，自己的电脑上没冰刃，没测试改名是否关。
没具体跟下去，或许后面还有反查的代码吧。

1. 0040A7D0  /$  55                 push ebp
   
2. 0040A7D1  |.  8BEC               mov ebp,esp
   
3. 0040A7D3  |.  81C4 ECFEFFFF      add esp,-114
   
4. 0040A7D9  |.  53                 push ebx
   
5. 0040A7DA  |.  33C9               xor ecx,ecx
   
6. 0040A7DC  |.  898D F4FEFFFF      mov dword ptr ss:[ebp-10C],ecx
   
7. 0040A7E2  |.  898D ECFEFFFF      mov dword ptr ss:[ebp-114],ecx
   
8. 0040A7E8  |.  898D F0FEFFFF      mov dword ptr ss:[ebp-110],ecx
   
9. 0040A7EE  |.  8955 F8            mov dword ptr ss:[ebp-8],edx
   
10. 0040A7F1  |.  8945 FC            mov dword ptr ss:[ebp-4],eax
    
11. 0040A7F4  |.  8B45 FC            mov eax,dword ptr ss:[ebp-4]
    
12. 0040A7F7  |.  E8 E499FFFF        call 1.004041E0
    
13. 0040A7FC  |.  8B45 F8            mov eax,dword ptr ss:[ebp-8]
    
14. 0040A7FF  |.  E8 DC99FFFF        call 1.004041E0
    
15. 0040A804  |.  33C0               xor eax,eax
    
16. 0040A806  |.  55                 push ebp
    
17. 0040A807  |.  68 1BA94000        push 1.0040A91B
    
18. 0040A80C  |.  64:FF30            push dword ptr fs:[eax]
    
19. 0040A80F  |.  64:8920            mov dword ptr fs:[eax],esp
    
20. 0040A812  |.  B0 01              mov al,1
    
21. 0040A814  |.  E8 47FDFFFF        call 1.0040A560
    
22. 0040A819  |.  33D2               xor edx,edx
    
23. 0040A81B  |.  8B45 FC            mov eax,dword ptr ss:[ebp-4]
    
24. 0040A81E  |.  E8 59DCFFFF        call 1.0040847C
    
25. 0040A823  |.  85C0               test eax,eax
    
26. 0040A825  |.  0F85 96000000      jnz 1.0040A8C1
    
27. 0040A82B  |.  6A 00              push 0                                       ; /Relation = GW_HWNDFIRST
    
28. 0040A82D  |.  E8 7AA6FFFF        call 1.00404EAC                              ; |[GetForegroundWindow
    
29. 0040A832  |.  50                 push eax                                     ; |hWnd
    
30. 0040A833  |.  E8 7CA6FFFF        call 1.00404EB4                              ; \GetWindow
    
31. 0040A838  |.  8BD8               mov ebx,eax
    
32. 0040A83A  |.  85DB               test ebx,ebx
    
33. 0040A83C  |.  0F84 AE000000      je 1.0040A8F0
    
34. 0040A842  |>  68 FF000000        /push 0FF                                    ; /Count = FF (255.)
    
35. 0040A847  |.  8D85 F9FEFFFF      |lea eax,dword ptr ss:[ebp-107]              ; |
    
36. 0040A84D  |.  50                 |push eax                                    ; |Buffer
    
37. 0040A84E  |.  53                 |push ebx                                    ; |hWnd
    
38. 0040A84F  |.  E8 68A6FFFF        |call 1.00404EBC                             ; \GetWindowTextA
    
39. 0040A854  |.  85C0               |test eax,eax
    
40. 0040A856  |.  7E 59              |jle short 1.0040A8B1
    
41. 0040A858  |.  8D95 F0FEFFFF      |lea edx,dword ptr ss:[ebp-110]
    
42. 0040A85E  |.  8D85 F9FEFFFF      |lea eax,dword ptr ss:[ebp-107]
    
43. 0040A864  |.  E8 5BD9FFFF        |call 1.004081C4
    
44. 0040A869  |.  8B85 F0FEFFFF      |mov eax,dword ptr ss:[ebp-110]
    
45. 0040A86F  |.  8D95 F4FEFFFF      |lea edx,dword ptr ss:[ebp-10C]
    
46. 0040A875  |.  E8 F2D7FFFF        |call 1.0040806C
    
47. 0040A87A  |.  8B85 F4FEFFFF      |mov eax,dword ptr ss:[ebp-10C]
    
48. 0040A880  |.  50                 |push eax
    
49. 0040A881  |.  8D95 ECFEFFFF      |lea edx,dword ptr ss:[ebp-114]
    
50. 0040A887  |.  8B45 F8            |mov eax,dword ptr ss:[ebp-8]
    
51. 0040A88A  |.  E8 DDD7FFFF        |call 1.0040806C
    
52. 0040A88F  |.  8B85 ECFEFFFF      |mov eax,dword ptr ss:[ebp-114]
    
53. 0040A895  |.  5A                 |pop edx
    
54. 0040A896  |.  E8 3D9AFFFF        |call 1.004042D8
    
55. 0040A89B  |.  85C0               |test eax,eax
    
56. 0040A89D  |.  74 12              |je short 1.0040A8B1
    
57. 0040A89F  |.  6A 00              |push 0                                      ; /lParam = 0
    
58. 0040A8A1  |.  68 60F00000        |push 0F060                                  ; |wParam = F060
    
59. 0040A8A6  |.  68 12010000        |push 112                                    ; |Message = WM_SYSCOMMAND
    
60. 0040A8AB  |.  53                 |push ebx                                    ; |hWnd
    
61. 0040A8AC  |.  E8 23A6FFFF        |call 1.00404ED4                             ; \PostMessageA
    
62. 0040A8B1  |>  6A 02              |push 2                                      ; /Relation = GW_HWNDNEXT
    
63. 0040A8B3  |.  53                 |push ebx                                    ; |hWnd
    
64. 0040A8B4  |.  E8 FBA5FFFF        |call 1.00404EB4                             ; \GetWindow
    
65. 0040A8B9  |.  8BD8               |mov ebx,eax
    
66. 0040A8BB  |.  85DB               |test ebx,ebx
    
67. 0040A8BD  |.^ 75 83              \jnz short 1.0040A842                        ;  (Initial CPU selection)
    
68. 0040A8BF  |.  EB 2F              jmp short 1.0040A8F0
    
69. 0040A8C1  |>  8B45 F8            mov eax,dword ptr ss:[ebp-8]
    
70. 0040A8C4  |.  E8 2799FFFF        call 1.004041F0
    
71. 0040A8C9  |.  50                 push eax
    
72. 0040A8CA  |.  8B45 FC            mov eax,dword ptr ss:[ebp-4]
    
73. 0040A8CD  |.  E8 1E99FFFF        call 1.004041F0
    
74. 0040A8D2  |.  50                 push eax                                     ; |Class
    
75. 0040A8D3  |.  E8 BCA5FFFF        call 1.00404E94                              ; \FindWindowA
    
76. 0040A8D8  |.  8BD8               mov ebx,eax
    
77. 0040A8DA  |.  85DB               test ebx,ebx
    
78. 0040A8DC  |.  74 12              je short 1.0040A8F0
    
79. 0040A8DE  |.  6A 00              push 0                                       ; /lParam = 0
    
80. 0040A8E0  |.  68 60F00000        push 0F060                                   ; |wParam = F060
    
81. 0040A8E5  |.  68 12010000        push 112                                     ; |Message = WM_SYSCOMMAND
    
82. 0040A8EA  |.  53                 push ebx                                     ; |hWnd
    
83. 0040A8EB  |.  E8 E4A5FFFF        call 1.00404ED4                              ; \PostMessageA
    
84. 0040A8F0  |>  33C0               xor eax,eax
    
85. 0040A8F2  |.  5A                 pop edx
    
86. 0040A8F3  |.  59                 pop ecx
    
87. 0040A8F4  |.  59                 pop ecx
    
88. 0040A8F5  |.  64:8910            mov dword ptr fs:[eax],edx
    
89. 0040A8F8  |.  68 22A94000        push 1.0040A922
    
90. 0040A8FD  |>  8D85 ECFEFFFF      lea eax,dword ptr ss:[ebp-114]
    
91. 0040A903  |.  BA 03000000        mov edx,3
    
92. 0040A908  |.  E8 7F94FFFF        call 1.00403D8C
    
93. 0040A90D  |.  8D45 F8            lea eax,dword ptr ss:[ebp-8]
    
94. 0040A910  |.  BA 02000000        mov edx,2
    
95. 0040A915  |.  E8 7294FFFF        call 1.00403D8C
    
96. 0040A91A  \.  C3                 retn
    
97. 
    

复制代码

tawny2008

改名是被关的，Wsyscheck改名也是被关，我怀疑是用了传说中那个最猥琐的方法。。汗~

tawny2008

你早就应该过来玩玩了，哈哈

backway

今天一整天弄毛豆啊
EQ放手用这个 有点不习惯

tawny2008

干嘛不用MD，毛豆的FD不全