一个自己研究的病毒

pipi1987

to avg

a594587696

ESET没反应啊，安全

hegaoshun

a594587696 发表于 2010-11-28 21:42
ESET没反应啊，安全

没反应就代表安全吗？

hegaoshun

smilediy 发表于 2010-11-28 19:10
这个根本不算是病毒，不过这贴太好玩了，还有人贴出xt的那个图。。。。毛线关系啊

那堆上报病毒的更好玩 ...

你好，上面我已经说了，现在我还没完全弄明白，请问您仔细分析了吗？如果分析了，您可以把规则贴出来看看，Ldr是_PEB_LDR_DATA的指针。而_PEB_LDR_DATA就是加载模块链表的头节点。
你肯定知道_LIST_ENTRY就是链表结构体，将我们链表中的各个节点连接起来。
我们链表中的节点是啥样子的？如下：

MagicFuzzX

回复 34楼 hegaoshun 的帖子

TEB偏移0x30处，即FS:[0x30]地址处保存着一个指针，指向PEB，PEB结构的偏移0xC处保存着另外一个指针ldr，该指针指向PEB_LDR_DATA（被进程加载的动态链接库的信息）

结构如下：

nt!_PEB_LDR_DATA

   +0x000 Length           : Uint4B

   +0x004 Initialized         : UChar

   +0x008 SsHandle         : Ptr32 Void

   +0x00c InLoadOrderModuleList : _LIST_ENTRY

   +0x014 InMemoryOrderModuleList : _LIST_ENTRY

   +0x01c InInitializationOrderModuleList : _LIST_ENTRY

   +0x024 EntryInProgress  : Ptr32 Void

该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针，分别是按照加载顺序、在内存中地址顺序和初始化顺序排列的模块信息结构的指针.

Peb->Ldr->InitializationOrderModuleList指向按照初始化顺序排序的第一个LDR_MODULE节点的InInitializationOrderModuleList成员的指针，在WinNT平台下，该链表头节点的LDR_MODULE结构包含的是 NTDLL.DLL，而链表的下一个节点所包含的就是Kernel32.dll相关的信息。(非win7)

win7上面在加载kernel32.dll之前要先加载kernelbase.dll，需要遍历"InInitializationOrder"列表，以检测模块名字符串"kernel32.dll"中第13位（即第25字节）是否为空字符/0，以此找到kernel32.dll的基址

可以在看雪上搜索下kerenl32基址

PS：我没看懂你的意思，什么规则？就这样吧

a594587696

回复 33楼 hegaoshun 的帖子

下载了好多病毒，NOD32就是没反应，只有少数能查出来。。。。我也很纠结啊

jiao轩

上面两位高手太厉害了…………我暂时只发现这些…………


毛豆全询问无反应…………

MagicFuzzX

回复 37楼 jiao轩 的帖子

这些个人认为这些行为是加载这个exe文件运行所必须的动态链接库而已

jiao轩

回复 38楼 smilediy 的帖子

我也就找到了这些，正如你说的，貌似没什么问题…………

jiao轩

…………鉴定了好久…………然后………………


云鉴定出问题了？莫非是云鉴定就是传说中的用主流杀软都跑一边………………