0x 01 环境准备

吾爱破解虚拟机、OD、PEID、汇编金手指

注:Win7 系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用 Win7 进行分析。

0x 02 程序运行

程序运行方式

首先在虚拟机上做好快照,接着打开程序,运行界面如下,发现点击任何都不能运行,但是win窗口可以弹出来,这样可以简单判断这并不是一个完全的锁屏程序,很有可能是界面置前且最大化。

打开任务管理器发现几秒后消失。

images

 

 

 

 

 

 

 

 

 

0x 03 程序分析

首先将该程序放到PEID等检测工具中检测一下,多次检测发现是UPX壳,我们使用吾爱破解内置的UPX脱壳工具将改程序脱壳处理。

为了防止界面最大化掩盖其他分析程序,我们首先使用精易编程助手,并将精易编程助手界面置顶,防止病毒程序界面掩盖。

images

 

 

 

 

 

 

 

 

 

之后打开病毒程序界面,调出精易编程助手,将病毒程序调试成透明,且调成为700 500大小,但要记住识别码。

images

 

 

 

 

 

 

images

 

 

 

 

 

之后打开OD–文件-附件将病毒程序添加上。

images

 

 

 

 

 

 

 

 

 

点击e或者ALT+E,选择可执行模块,选择病毒程序双击。

images

 

 

 

 

 

 

 

 

通过反汇编窗口可以看到成功脱壳

images

 

 

 

 

 

 

 

 

 

之后点击OD的×,关闭程序。紧接着打开debug

images

 

 

 

 

 

 

 

这个程序可以病毒程序加载了什么。打开E-debug,然后按住win键+E调出桌面,并运行病毒程序。

images

 

 

 

 

 

 

 

选择调试,可以在E-debug上查看该病毒程序的动作。可以发现该程序调用了两个事件,地址分别是401479和401377,都是时钟事件。

images

images

 

 

 

 

 

 

 

 

 

填好注册码,点击确定,出现另一个事件。可以确定这个时间就是确认事件,4010B9地址是算法的根本地点。

images

 

 

 

 

 

 

 

 

 

→开始调试←

触发窗口:52010001→触发控件:16010022

控件名称:时钟2→事件地址:401479

——————————-

触发窗口:52010001→触发控件:16010017

控件名称:时钟1→事件地址:401377

——————————-

触发窗口:52010001→触发控件:16010004

控件名称:按钮1→事件地址:4010B9

 

打开OD加载这个程序,CTRL+G输入地址401479过去看看,进而分析。

发现这里有“windows任务管理器”字样,断定这个是和上文中提到的“任务管理器很快消失”现象对应。

images

 

 

 

 

 

 

 

这里将push ebp改成retn,表示程序调用这个函数的时候就返回。可以看到任务管理器成功打开,将其改回后有很快消失。

images

 

 

 

 

 

 

 

 

 

 

利用同样的方法找00401377,发现这是读秒时钟事件。同样将其改成retn后可以停止程序读秒。

images

 

 

 

 

 

 

 

接下来分析确定按钮那个地址004010B9,输入后到达算法处。

images

 

 

 

 

 

 

 

 

在此处下断点后不断验证,可以断定这部分就是算法入口。F8不断运行,总结算法。

关键算法是获得识别码a,(a* 433)-75=key

images

 

 

 

 

这里是一个关键跳转je,在此命令上改动可以作为爆破。

images

 

 

 

 

 

 

 

 

 

至此,该病毒分析完毕。