拿到了未感染的样本,拉进了WinHex跟IDA进行了分析对比
分析1【对比PE文件头结构的变化】
分析2【对比新增EP区段的变化】
接着是分析出真正的程序入口点【OEP】
接着可以发现新EP段代码跑完后会动态生成一个跳转【JMP】指令 来跳回到原始的OEP地址
分析出原始OEP地址后就可以根据特征码来定位到该地址出现的地方
拿到特征码后就能为接下来做专杀工具提供更好的思路跟代码质量
这里注意,目前发现有个别程序的OEP地址会不正确。@火绒运营专员 从而导致写的专杀代码也会把错误的OEP写回去,官方论坛刚注册无法发帖,所以来这发帖。
这里发两份病毒样本
可修复OEP的样本(含未感染程序)https://pan.xunlei.com/s/VO2GZPakdQK07yxv_p9f8f7JA1?pwd=manz# 提取码:manz
无法修复OEP的样本(含未感染程序) 链接:https://pan.xunlei.com/s/VOaYQjXV-WybmoYVI_MR2x3TA1?pwd=g5i4# 提取码:g5i4
分析1【对比PE文件头结构的变化】
分析2【对比新增EP区段的变化】
接着是分析出真正的程序入口点【OEP】
接着可以发现新EP段代码跑完后会动态生成一个跳转【JMP】指令 来跳回到原始的OEP地址
分析出原始OEP地址后就可以根据特征码来定位到该地址出现的地方
拿到特征码后就能为接下来做专杀工具提供更好的思路跟代码质量
这里注意,目前发现有个别程序的OEP地址会不正确。@火绒运营专员 从而导致写的专杀代码也会把错误的OEP写回去,官方论坛刚注册无法发帖,所以来这发帖。
这里发两份病毒样本
可修复OEP的样本(含未感染程序)https://pan.xunlei.com/s/VO2GZPakdQK07yxv_p9f8f7JA1?pwd=manz# 提取码:manz
无法修复OEP的样本(含未感染程序) 链接:https://pan.xunlei.com/s/VOaYQjXV-WybmoYVI_MR2x3TA1?pwd=g5i4# 提取码:g5i4
