Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần III)

Số trang: 6 Loại file: pdf Dung lượng: 370.46 KB Lượt xem: 15 Lượt tải: 0

10.10.2023

Phí lưu trữ: 4,000 VND

Xem trước 2 trang đầu tiên của tài liệu này:

Thông tin tài liệu:

Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần III).- Riêng quá trình EPO:.- Quá trình viết lại các entry point:Đoạn giải mã chính của phần thân virus Virut.ce.Trước khi đi vào phần chính thảo luận về phương thức payload của virus, chúng ta hãy cùng nhìn vào công cụ giải mã Init trong 1 file đã bị lây nhiễm:1 phần của file đã bị lây nhiễm bởi Virus.Win32.Virut.ce với Init decryptor.Đoạn mã disassembled của Init decryptor Hình ảnh đầu tiên chỉ ra các phần mã đã bị lây nhiễm của file calc.exe. Phần ngoài rìa của các section mã được đánh...
Nội dung trích xuất từ tài liệu:
Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần III)Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần III)- Riêng quá trình EPO:- Quá trình viết lại các entry point:Đoạn giải mã chính của phần thân virus Virut.ceTrước khi đi vào phần chính thảo luận về phương thức payload của virus,chúng ta hãy cùng nhìn vào công cụ giải mã Init trong 1 file đã bị lây nhiễm: 1 phần của file đã bị lây nhiễm bởi Virus.Win32.Virut.ce với Init decryptor Đoạn mã disassembled của Init decryptorHình ảnh đầu tiên chỉ ra các phần mã đã bị lây nhiễm của file calc.exe. Phầnngoài rìa của các section mã được đánh dấu, đồng thời phần Init decryptorcũng được đánh dấu. Hình ảnh bên dưới hiển thị các đoạn mã disassembledcủa công cụ giải mã Init. 4 phương thức được đề cập bên trên được khoanhtrong hình oval đỏ.Trong ví dụ này, trình quản lý đăng ký ECX được lấp đầy bởi các hành độngpush / pop liên tục và được giải mã bởi adc. Tuy nhiên, các quá trình nàykhông phải lúc nào cũng giống nhau. Virut.ce đã phát triển rất nhanh trongnăm qua, bằng chứng là chúng đã tích hợp được công nghệ giải mã Init mộtcách dễ dàng. Nếu thông tin của phần body virus ghi vào trong registry đượcchỉnh sửa 1 lần (mov reg, dword chuyển thành push dword; pop reg) thì cácthủ tục để giải mã cũng thay đổi nhiều hơn 1 lần (sắp xếp theo thứ tự):- ADD/SUB [mem], dword;- ROL/ROR [mem], byte;- ADC/SBB [mem], byte;- ADD/SUB [mem], byte;- ADD/SUB [mem], word;- ADC/SBB [mem], word;- ADC/SBB [mem], dword;Khôi phục lại đoạn mã ban đầuVề mặt lý thuyết, toàn bộ mã nguồn của phần body chính có thể được chia ralàm 3 nhóm, theo nhiệm vụ chính sau: quá trình khôi phục lại từ các điểm