很久以前分析的时候写的,最近开始学习分析bootkit类的病毒,记录下

bootcode代码

  以WIN7为例(bootcode代码,win7到win10都一样)，MBR大小为1个扇区，大小为512(0x200)，

第一块选区0x000-0x162为MBR的可执行代码
第二块选区0x163-0x1b2为错误信息显示，查找分区表失败时会在系统显示这些字符
第三块选区0x1be-0x1fd为分区表。

分析VB样本的时候发现有几种混淆方式，记录下。

替换函数指针

样本shah:a66f989e58ada2eff729ac2032ff71a159c521e7372373f4a1c1cf13f8ae2f0c

载入vb.idc脚本，脚本分析完后，查看event handle函数，

1
2
3
4
5
6
7
8
9
10

.text:00463E14 _O_Pub_Obj_Inf1_Ctl_Inf0x3_0x7_lpForm_Load        dd offset Hdr_Jmp_Addr_0x46549A      ; Ptr to Form Load Event Code.
....

.text:00463E78                 sub     [esp+arg_0], 0FFFFh
.text:00463E80                 jmp     _O_Pub_Obj_Inf1_Method0x1

.text:00463E85          Hdr_Jmp_Addr_0x46549A:       ; DATA XREF:.text:_O_Pub_Obj_Inf1_Ctl_Inf0x3_0x7_lpForm_Load↑o
.text:00463E85                 sub     dword ptr [esp+4], 3Bh ; ';' ; Flags and Code Address
.text:00463E8D                 jmp     _O_Pub_Obj_Inf1_Event0x2

_O_Pub_Obj_Inf1_Event0x2就是处理Form_load的函数，一般malicious code都是在这里实现。
接着往下看。
这里计算处shellcode的地址。0x43AF4B=1526C77h/（sqr(25.0)）

1
2
3
4
5
6
7
8

.text:00465D83                        mov     [ebp+var_50], 1526C77h
.text:00465D8A                        fld     ds:dbl_401118   ;25.0
.text:00465D90                        push    ecx
.text:00465D91                        push    ecx
.text:00465D92                        fstp    qword ptr [esp+8+var_8]
.text:00465D95                        call    rtcSqr
.text:00465D9A                        call    __vbaFpI4
.text:00465D9F                        mov     ecx, eax

usercall不是标准的调用约定，但是用IDA反编译时经常能看到,应该是IDA特有的

1

int __usercall sub_10017FF0@<eax>(int a1@<eax>, int a2@<ecx>, _BYTE *a3, _BYTE *a4)

这样的函数声明，这个是IDA自己定义的，这种使用寄存器传参可能是编译时被编译器优化的结果。如上例子则表示参数a1使用eax传递，参数a2使用ecx传递的。a2和a4是压栈
要hook这类函数的时候,我们可以写一个stub函数将usercall转换成调用__cdecl修饰的函数.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

//
int __cdecl sub_10017FF0 (int a1 , int a2, _BYTE *a3, _BYTE *a4)
{
//......具体实现代码
}
//中转stub
static void __declspec(naked) stub_sub_10017FF0()
{
        __asm
        {
                //按照顺序压入参数
                push [esp + 08h] // a4
                push [esp + 08h] // a3
                push ecx // a2
                push eax // a1
                // 调用实际实现hook代码的函数
                call sub_10017FF0
                //寄存器传参的参数也要pop
                add esp, 4 //  
                pop ecx // a2
                //堆栈平衡，这里有俩个参数是压栈的
                add esp, 4 // a3
                add esp, 4 // a4
                retn
        }
}                                                                             

https://github.com/michael-fadely/usercall-hook

使用pycharm调试

在网上搜索调试的方法也很久了，也没有找到方法。无意中在auto_re插件中发现如下这段代码。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

RDEBUG = False
# adjust this value to be a full path to a debug egg
RDEBUG_EGG = r'c:\Program Files\JetBrains\PyCharm 2017.1.4\debug-eggs\pycharm-debug.egg'
RDEBUG_HOST = 'localhost'
RDEBUG_PORT = 12321
...


def run():
    .....
    if RDEBUG and RDEBUG_EGG:
        if not os.path.isfile(RDEBUG_EGG):
            idaapi.msg('AutoRE: Remote debug is enabled, but I cannot find the debug egg: %s' % RDEBUG_EGG)
        else:
            import sys

            if RDEBUG_EGG not in sys.path:
                sys.path.append(RDEBUG_EGG)

            import pydevd
            pydevd.settrace(RDEBUG_HOST, port=RDEBUG_PORT, stdoutToServer=True, stderrToServer=True)

简介

Malwar是一个使用了Cuckoo Sanbox的在线恶意软件分析系统，由于它提供一些病毒样本下载，就想能不能写个爬虫把样本下下来。顺便写篇博客记录下。

打开 https://malwr.com/analysis ,我们可以当前页看到有TimeStamp、md5、文件名、文件类型和杀软查杀数，下一页类似。

只有MD5的超链接可以点，点进去看看，

我写这个的爬虫的目的是下载样本，只关心样本的下载地址，并不关心其他的信息。现在我们可以理清下思路：

   获取每一页的网页源码
   解析当前页的每一个md5对应的详细信息链接
   在详细信息页面解析下载地址。

安卓游戏资源解密

一个同学在群里发了个游戏，要解密游戏的资源。反编译看了下源码，没看出什么，用Android Killer看了下资源，发现在res/raw目录下有个文件比较大，t0.zip解压后有t0.pak;文件有点大，3M多，并且是以PAK格式的文 件，通过搜索得知这个格式为PAK格式——是一种文件打包的格式。

在网上搜了下 打开PAK文件的软件，发现都不能打开。  搞不定就不搞了。这几天看了 <<揭秘数据解密的关键技术>>，下面图片框框内的像文件名，我们可以知道这个文件是一种文件打包的格式。具体是什么结构不知道。