今天,我的AV发现了一个古老的恶意软件Win9X.CIH.dam。
除了删除它,我还想做一些有趣的研究。 br />“ data0513”的确切含义是什么?我不明白0513是什么。我想这是某种补偿,但无法从哪里弄清楚。

#1 楼

这可能是AV特有的。我想到了一些可能性:


如果exe具有嵌入式存档,则为存档成员
覆盖区域(数据超出各节覆盖的区域)资源

...其他内容...

0513似乎太小而无法偏移,所以我怀疑它是一个序列号。要了解更多信息,您可能需要重新使用AV引擎,以了解其使用的命名方案以及编号的分配方式。



评论


为了在“其他”项上扩展与匹配恶意软件的规则相关的偏移量或序列号(或哈希或校验和的最后十六进制数字)...

– 0xC0000022L♦
18年6月13日在20:34

#2 楼

除了对AV软件本身进行反向工程之外,您没有一种可靠的方式来了解命名模式的含义。

某些AV可以选择转储恶意软件。也许您会这样做,但实际情况不太可能,因为普通用户永远不会使用该功能,因此可能会有风险。

您可以使用像Virustotal这样的工具

来预处理文件并更深入地了解文件的含义。就像人们想象的那样扫描恶意软件。它具有相当不错的自动静态二进制分析功能,您可能会觉得有用。例如,该工具可能使您偏离了恶意软件所处的区域,从而可以将其提取出来。

评论


您能解释一下VirusTotal在这里有什么帮助吗?

– 0xC0000022L♦
18年6月13日在20:35

使用原始文件的哈希,您可以查找VirusTotal(等),其他60多个扫描引擎对您的样本的看法也可能会为您提供有用的信息。您可以参考威胁描述或报告的参考,并详细了解找到的KIS。

– adric
18 Jun 15'在17:26



好解释adric。我正在编辑。

– 0xfede7c8
18年6月15日在20:12

VirusTotal在哪里/如何“可能使您偏离恶意软件所居住的区域”?

– NirIzr
18年6月16日在23:32

#3 楼

该值很可能是文件中的绝对偏移,尽管似乎不太可能。 CIH将自身插入文件头末尾与节开头之间,一个节末尾与下一个节开头之间的空格等。它更改了PE入口点字段以使其指向自身,以便立即运行。如果您使用反汇编程序(例如IDA),则可以看到代码,然后可以使用十六进制编辑器或类似程序将其提取出来。