文件名称:手脱加PESpin 0.3x - 0.4x壳的病毒
目标程序:病毒样本“Trojan/PSW.Agent.eoy”程序
操作环境:Windows XP-SP2
使用工具:Ollydbg 1.10版
编写作者:Coderui
编写时间:2007年11月23日
联系方式:coderui@163.com
作者博客:http://hi.baidu.com/coderui
---------------------------------------------------------------------------------------------
前言:
个人感觉这个壳很有特点,虽然每天都重复着在做脱壳、分析病毒,但好久没写脱文发布了,今天就拿该病毒的壳作为例子和大家分享吧。
分析:
脱壳前,使用PEID V0.93查壳,显示壳名为:“PESpin 0.3x - 0.4x -> cyberbob”。看了下这个程序有16个节段,还真不少。EP区段名分别为:“.text/.rdata/.data/.peII/pepack/xh520/xh520/.MaskPE/.MaskPE/520xh/520mmym/pepack/.pepack/mumaba/pepack/mmym520”,显示连接程序版本为:2.0 。
注意:
如果大家分析的是应用软件加的壳,跑飞几次没什么关系。但如果分析的是病毒,那么就要千万小心了,因为有些未知病毒可能破坏力非常大的(比如PE感染型病毒)。不过最好还是养成仔细分析、细心调试的好习惯比较好(我喜欢真实环境,不太喜欢虚拟机,因为感觉不方便)。今天同样很幸运,依然只跟了一次,壳直接就脱掉了,哈哈!(^_^).
---------------------------------------------------------------------------------------------
手脱记录:
(OD设置为不忽略任何异常。[F2]:下软断点、[F4]:执行到当前代码处、[F7]:单步步入、[F8]单步步过、[F9]运行。)
---------------------------------------------------------------------------------------------
0042C000 > 60 PUSHAD ;OD载入后停在这里,单步[F8]向下走。
0042C001 90 NOP
0042C002 90 NOP
0042C003 90 NOP
0042C004 90 NOP
0042C005 90 NOP
0042C006 90 NOP
0042C007 5D POP EBP
0042C008 90 NOP
0042C009 90 NOP
0042C00A 90 NOP
0042C00B 90 NOP
0042C00C 90 NOP
0042C00D 90 NOP
0042C00E 90 NOP
0042C00F 90 NOP
0042C010 90 NOP
0042C011 90 NOP
0042C012 90 NOP
0042C013 03DD ADD EBX,EBP
0042C015 68 31504200 PUSH ae5a3650.00425031
0042C01A C3 RETN ;这里单步[F8]后会跳。
.
.
.
00425031 ? 60 PUSHAD ;跳到这里,单步[F8]向下走。
00425032 ? 03CB ADD ECX,EBX
00425034 ? 53 PUSH EBX
