TAILIEUCHUNG - Tổng quan về mẫu malware Virus.Win32.Virut.ce- Phần 4

Tổng quan về mẫu malware Phần 4 Giải mã phần body chính Bộ phận đảm nhiệm khả năng thực thi trong các đoạn code được giải mã, sẽ khởi động sau khi virus hoàn tất các hoạt động ban đầu của nó như việc khôi phục mã gốc, khởi tạo tên đối tượng và lưu trữ địa chỉ của các hàm tương ứng được sử dụng trực tiếp từ thư viện hệ thống DLLs và anti-cycle. | Tổng quan về mẫu malware Phần 4 Giải mã phần body chính Bộ phận đảm nhiệm khả năng thực thi trong các đoạn code được giải mã sẽ khởi động sau khi virus hoàn tất các hoạt động ban đầu của nó như việc khôi phục mã gốc khởi tạo tên đối tượng và lưu trữ địa chỉ của các hàm tương ứng được sử dụng trực tiếp từ thư viện hệ thống DLLs và anti-cycle. Nếu quá trình giải mã Main được xem là 1 phần hoặc 1 bộ phận phân tách riêng biệt thì toàn bộ mã sinh ra b ởi tiến trình này hoàn toàn vô nghĩa ví dụ như chỉ dẫn RETN được gọi ra để quản lý điều khiển việc thay đổi vị trí 1 cách ngẫu nhiên. Trước khi quá trình giải mã chính thức diễn ra RETN 0C3h sẽ được thay thế bởi hàm CALL 0E8h . Chúng ta có thê hình dung quá trình này như sau ADD SUB XOR EBP xx bytereg Theo đó EBP sẽ được trỏ tới địa chỉ của hàm CALL và bytereg chỉ là 1 trong số những giá trị byte đã được đăng ký. Do vậy chúng ta có thê cho rằng chu trình bắt đầu thực sự sau khi quá trình giải mã RETN sẽ được thay đổi thành CALL. Theo đúng trình tự là quá trình obfuscated - phần còn lại của body của virus. Không chỉ sử dụng số lượng lớn các thuật toán và nhiều trong số này thực sự phức tạp hơn rất nhiều so với phần c òn lại với trình giải mã Init. Thông thường sẽ có từ giữa 2 đến 6 các thuật toán được dùng đê kết hợp. Và trong các thu ật toán này trình quản lý đăng ký EDX chứa key giải mã và với EAX chứa toàn bộ địa chỉ ảo nơi bắt đầu của static body. Các ứng dụng quản lý register chứa đựng các chỉ dẫn của h àm tương ứng có thể giống như sau MOVZX MOVdx edx ebp const LEA eax ebp const Các thuật toán được sử dụng chủ yếu như trong ví dụ dưới đây ROL DX 4 XOR EAX DL IMUL EDX EDX 13h ADD EAX DL ROL DX 5 IMUL EDX 13h XOR EAX DH ADD EaX DL XChG DH DL IMUL EDX 1Fh XOR EAX DH XCHG DH DL ADD EAX .

Đã phát hiện trình chặn quảng cáo AdBlock
Trang web này phụ thuộc vào doanh thu từ số lần hiển thị quảng cáo để tồn tại. Vui lòng tắt trình chặn quảng cáo của bạn hoặc tạm dừng tính năng chặn quảng cáo cho trang web này.