§ 概要

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

病毒行为:

无

Obsidium 1.0.0.61脱壳之引入表修复

1.下断点VirtualAlloc+? (该壳有反调试功能，所以最好把断点设API地址＋几个字节的位置)

2.Ctrl+F9返回用户进程，下硬件执行断点到3A78A0

注：要得到上面3A78A0这个地址可以根据以下步骤得到：

A.在上次Dump出来的程序中找一个API调用如：

0A21398 movzx eax, 【ebp+var_141】

iatRegio:00A2139F test eax, eax

iatRegio:00A213A1 jz short loc_A213AB

iatRegio:00A213A3 push 0

iatRegio:00A213A5 call ds:dword_A64114（这里就是一个API调用，从IDA里可以知道

A64114里存放的是一个地址，这个例子里是3A8394）

用OD下内存写入断点在3A8394处，F9执行，然后搜索指令：test word ptr ds:【esi】,20可以得到上面的地址

003A78A0 66:F706 2000 TEST WORD PTR DS:【ESI】,20 把这里的20改成3

003A78A5 74 46 JE SHORT 003A78ED

003A78A7 66:F706 0200 TEST WORD PTR DS:【ESI】,2

003A78AC 75 1F JNZ SHORT 003A78CD

003A78AE 66:C706 0400 MOV WORD PTR DS:【ESI】,4

003A78B3 8B45 14 MOV EAX,DWORD PTR SS:【EBP+14】

003A78B6 6A 01 PUSH 1

003A78B8 6A 00 PUSH 0

003A78BA FF76 04 PUSH DWORD PTR DS:【ESI+4】

003A78BD 6A 00 PUSH 0

003A78BF FF75 18 PUSH DWORD PTR SS:【EBP+18】

003A78C2 FF50 40 CALL DWORD PTR DS:【EAX+40】

003A78C5 85C0 TEST EAX,EAX

003A78C7 74 39 JE SHORT 003A7902

003A78C9 8907 MOV DWORD PTR DS:【EDI】,EAX

003A78CB EB 20 JMP SHORT 003A78ED

003A78CD 66:C706 0400 MOV WORD PTR DS:【ESI】,4

003A78D2 8B45 14 MOV EAX,DWORD PTR SS:【EBP+14】

003A78D5 0FB756 02 MOVZX EDX,WORD PTR DS:【ESI+2】

003A78D9 6A 01 PUSH 1

003A78DB 52 PUSH EDX

003A78DC 6A 00 PUSH 0

003A78DE FF76 04 PUSH DWORD PTR DS:【ESI+4】

003A78E1 FF75 18 PUSH DWORD PTR SS:【EBP+18】

003A78E4 FF50 40 CALL DWORD PTR DS:【EAX+40】

003A78E7 85C0 TEST EAX,EAX

003A78E9 74 17 JE SHORT 003A7902 把这里的指令NOP掉

003A78EB 8907 MOV DWORD PTR DS:【EDI】,EAX

003A78ED 83C6 08 ADD ESI,8

003A78F0 83C7 04 ADD EDI,4

003A78F3 FF4D 08 DEC DWORD PTR SS:【EBP+8】

003A78F6 ^75 A8 JNZ SHORT 003A78A0

003A78F8 33C0 XOR EAX,EAX

003A78FA 40 INC EAX

003A78FB 5F POP EDI

003A78FC 5E POP ESI

003A78FD 5B POP EBX

003A78FE C9 LEAVE

003A78FF C2 1400 RETN 14

003A7902 33C0 XOR EAX,EAX

003A7904 5F POP EDI

003A7905 5E POP ESI

003A7906 5B POP EBX

003A7907 C9 LEAVE

003A7908 C2 1400 RETN 14

3.

003A778D FF4D FC DEC DWORD PTR SS:【EBP-4】 这里为当前程序加载的DLL的个数

当【EBP-4】为0时表示所有的API已经处理完了

003A7790 EB 03 JMP SHORT 003A7795

003A7792 15 349A0F85 ADC EAX,850F9A34

003A7797 21FD AND EBP,EDI

003A7799 FFFF ??? ; 未知命令

003A779B EB 02 JMP SHORT 003A779F

003A779D BF FE33C0EB MOV EDI,EBC033FE

003A77A2 0226 ADD AH,BYTE PTR DS:【ESI】

003A77A4 04 5F ADD AL,5F

用F7再往下走几步可以看到如上指令

003A7795 ^0F85 21FDFFFF JNZ 003A74BC 这里跳往处理下一个DLL的API

003A779B EB 02 JMP SHORT 003A779F 所以在这里下断点，F9就可以了

003A779D BF FE33C0EB MOV EDI,EBC033FE

003A77A2 0226 ADD AH,BYTE PTR DS:【ESI】

003A77A4 04 5F ADD AL,5F

003A77A6 5E POP ESI

003A77A7 5B POP EBX

003A77A8 C9 LEAVE

003A77A9 C3 RETN

4.当所有的API处理完成后，把A64000起开始1000H数据复制出来

并贴到上次Dump出来的文件的VA：A64000＝OFFSET：51600处

5.最后用Import REConstructor修复

在RVA处填664000

点GetImport

剪掉几个无效的涵数。KO！！！！！

注：

因该壳采Stolen Coder技术（即把原程序中的部分代码移到壳中执行了），目录这个程序还是不能运行

但对于分析已经足够了。

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 毕鉴昌
• 汪寅人
• 汪寅仙
• 汪察皮烈士
• 汪寿伯
• 汪寿兴烈士
• 汪寿南烈士
• 汪尊益烈士
• 汪小峯
• 汪小川
• 汪小沃
• 汪小清
• 汪小祥烈士
• 汪小达
• 汪少川
• 法国汉学研究所
• 法国沙漠军校
• 法国河北同乡会
• 法国法律概况
• 法国法院系统
• 法国波克兰液压有限公司
• 法国波尔多
• 法国波尔多高等商学院
• 法国洛尔DMC坦克运输系统
• 法国洛尔RPX90轮式侦察车