新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 3 页

跳转页

[原创] 新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2008-07-18 08:37 \| 短消息资料字号：小中大 11楼回复 9F 闪电风暴的帖子对已经感染该病毒是否有效？？？
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-07-18 09:26 \| 只看楼主短消息资料字号：小中大 12楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）如果已经感染，那么运行MyStopIt后用其它工具结束掉病毒进程它就不会起来了。。。
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-07-18 09:28 \| 只看楼主短消息资料字号：小中大 13楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）瑞星现在还不报毒。这个东西的行为和熊猫烧香是一致的，开启后都要在drivers目录下创建一文件，然后用那个文件启动。可见瑞星的启发特征提得不是很恰当。
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

炫Oo逍遥oO 锋芒艾服狮帖子:1306 注册: 2006-06-30 来自:	发表于： 2008-07-18 13:29 \| 短消息资料字号：小中大 14楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）得到地址后就CALL，检测调试器，被OD插件做掉什么意思? 啥插件 btw：脱UPX貌似没什么难度的啊.. 变异?.. 偶查壳一般用PE Detective come BacK
炫Oo逍遥oO 锋芒艾服狮帖子:1306 注册: 2006-06-30 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-07-18 15:25 \| 只看楼主短消息资料字号：小中大 15楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼） OD的中文汉化版中有一些插件可以防止OD被被调试程序发现。比如屏蔽IsDebuggerPresent等等。这个不是标准的UPX壳，标准的UPX应该不会有太多的反调试功能。这个壳经过修改，既然PEID无法认出，可能瑞星也没有正确认出，所以无法脱壳。因此里面的熊猫也就没事了。
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-07-18 17:15 \| 只看楼主短消息资料字号：小中大 16楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）瑞星最新的病毒库可以查杀此病毒了。
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-07-25 21:15 \| 短消息资料字号：小中大 17楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）搜索闪电的文章，发现这篇我没看过，虽然那壳我也已经看过，得出同样的结论其实应该说是两层壳，外层这一层完全属于anti-debug，里面是一层UPX。的确只要装有SOFTICE或开着OllyDbg的，病毒程序就跑不起来。驱动虽说都是科普技术，但至少是全在Ring0完成还原SSDT的操作呀，不需要和Ring3程序通信，不需要Ring3程序用遍历重定位表的方式来找SSDT偏移，相对于磁碟机的形式，还是方便一些的。当然驱动非常简单，我在IDA里把代码逆向一下，用Kmdkit编译成功注意，这个go.sys只还原SSDT（不要怀疑，就那么点代码，我把它每一行都弄清楚了），并没有穿还原，所以有人说这是第四代机器狗，完全是想当然，没有的事。轩辕小聪最后编辑于 2008-07-25 21:16:28 病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-07-25 21:23 \| 短消息资料字号：小中大 18楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）又看了一眼楼主帖，肯定闪电不常看Delphi写的程序 004277C8 55 push ebp 004277C9 8BEC mov ebp, esp 004277CB 83C4 F0 add esp, -10 004277CE B8 A8764200 mov eax, 004276A8 004277D3 E8 ECEDFDFF call 004065C4 004277D8 E8 2FFDFFFF call 0042750C 这里其实已经是OEP了，这就是Delphi写的程序的入口点形式。在004277C8处dump出来，用PEID就知道是Borland Delphi 6.0 - 7.0了要是在下面才dump，那Delphi的初始化代码都过去了，当然什么都找不到轩辕小聪最后编辑于 2008-07-25 21:42:55 病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-07-25 21:31 \| 短消息资料字号：小中大 19楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）另外如果不知道这程序是啥语言写的，你基本没法分析得清楚。 004275C1 E8 125CFFFF CALL NewVirus.0041D1D8 004275C6 E8 4DFEFFFF CALL NewVirus.00427418 004275CB E8 28FFFFFF CALL NewVirus.004274F8 这几个procedure才是这个东东的主要行为所在。因为这程序是Delphi写的，使用大量的Delphi的函数，以及一些VCL的类（如遍历文件时使用Delphi的FileFirst/FileNext，使用TSearchRec类）。如果在IDA里不加载上Delphi的sig文件的话，看这些函数绝对看得吐血。比如遍历文件部分，最好从Delphi中得到TSearchRec的结构，自己加到Structures中，然后使用IDA的相应功能，这样对该部分的分析才能真正搞清楚。病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2008-07-26 15:05 \| 只看楼主短消息资料字号：小中大 20楼回复：新版“熊猫烧香”病毒壳+驱动分析+免疫程序下载（9楼）PEID 004277C8 55 push ebp 004277C9 8BEC mov ebp, esp 004277CB 83C4 F0 add esp, -10 我记得网上有文章说add esp,一个负数是delphi的特征。但是在那个push ebp上脱壳PEID仍然认不出闪电风暴最后编辑于 2008-07-26 15:07:31
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

<<上一主题|下一主题>>

2 / 3 页

跳转页

页面顶部

Powered by Discuz!NT