前言

        对病毒进行逆向分析，可以彻底弄清楚病毒的行为，从而采取更有效的针对手段。为了节省篇幅，在这里我不打算将“熊猫烧香”进行彻底的分析，只会讲解一些比较重要的部分，大家只要掌握了这些思想，那么就可以处理很多的恶意程序了。一般来说，对病毒的静态分析，我们采用的工具是IDA Pro，动态分析则采用OllyDbg。由于后者会使病毒实际运行起来，所以为了安全起见，最好在虚拟机中操作。另外，在实际分析过程中，我们可能还需要一些辅助工具，比如侦壳或脱壳程序等。为了简单起见，这次研究的“熊猫烧香”程序并没有加壳，但是以后我们会讨论如何应对加壳或采用了其它保护手段的病毒。

 

查壳操作

        逆向分析的第一步就是用查壳工具对目标程序进行查壳操作。这里我使用PEiD v0.95，检测结果如下：

图1 对“熊猫烧香”进行查壳操作

        可见，本程序并没有加壳，那么就不涉及脱壳操作，并且是由Borland Delphi 6.0-7.0编写的。由Delphi所编写的代码与VC++所编写的代码有所不同，最明显的两点区别如下：

        1、函数调用时参数的传递不完全用栈，而是主要用寄存器，即Delphi编译器默认以register方式传递函数参数。这一点与VC编译的程序完全不同。Delphi一般将第一个参数放入eax寄存器，第二个参数放入edx，第三个参数放入ecx寄存器，其余参数按照与VC程序类似的方式压栈。

        2、栈上给局部变量分配空间的时候，栈是向下增长的，而栈上的数组、字符串、结构体等却是向上增长的。理解这一点可以帮助识别栈上的变量。

        对病毒样本进行了简单的侦测之后，就确定了分析的方向，那么接下来就需要使用反汇编工具进行分析了。

 

“熊猫烧香”的初步分析

        这里我使用IDA Pro载入病毒样本，首先可以看到如下代码：

图2 “熊猫烧香”的入口代码

        上图所示的病毒程序起始处的反汇编代码是Delphi自行生成的，并不是我们所关心的病毒程序的功能代码，所以这里不对其进行讲解。接下来的代码如下：

图3 “熊猫烧香”入口代码第二部分

        在这里最开始的两个CALL调用的都是名为sub_403C98的函数，IDA Pro已经将其中第二个CALL上方的字符分析出来了，是一段作者感言信息。所以有理由相信，第一个CALL上方应该也是一段字符串，这里可以结合OD来查看一下：

图4 查看字符串

        可见，第一个CALL上方的字符串就是“***武*汉*男*生*感*染*下*载*者***”，可以理解为是病毒作者信息，那么接下来就有必要分析一下病毒程序利用这两段字符串究竟做了什么。也就是进入CALL的内部，即sub_403C98去研究一下：

CODE:00403C98 sub_403C98      proc near                   ; CODE XREF: sub_403ED4+8j
CODE:00403C98                                             ; sub_403F18+6j ...
CODE:00403C98                 test    edx, edx; 对edx 进行验证，这里的test相当于and，不同的是test只进行比较，而不会将结果保存; 在edx中。由于edx保存的是病毒作者所编写的一段字符串，因此这里的结果一定是非0的。
CODE:00403C9A                 jz      short loc_403CC0; 由于上一条语句的结果是非0的，因此这条跳转语句并不会被执行到。
CODE:00403C9C                 mov     ecx, [edx-8]; 利用OD进行动态分析可知，[edx-8]是将edx-8这个地址中的值取出来，赋给ecx，那么赋值; 完以后，ecx的值为0x0FFFFFFFF。
CODE:00403C9F                 inc     ecx; ecx自增1，那么ecx的值就变为了0x0，注意这个自增的运算会使得ZF的值变为1。
CODE:00403CA0                 jg      short loc_403CBC; 这里的jg表明不大于则跳转。或者更准确地说，其跳转条件是SF=OF且ZF=0。由于经过上一步; 的运算，ZF=1，因此本跳转不成立。
CODE:00403CA2                 push    eax
CODE:00403CA3                 push    edx
CODE:00403CA4                 mov     eax, [edx-4]; 经过赋值后，eax中保存的值为0x20。
CODE:00403CA7                 call    sub_403D08; 结合OD在虚拟机中进行动态分析，进入一层又一层的调用可以得知，这个CALL主要是调用了; LocalAlloc函数，它从堆中分配大小为0xFF8的空间，函数参数uFlags=0，即; LMEM_FIXED，意思是分配固定内存，返回值是指向一个内存对象的指针。LocalAlloc函数; 如果执行成功则返回一个指向新分配的内存对象的句柄。
CODE:00403CAC                 mov     edx, eax
CODE:00403CAE                 pop     eax
CODE:00403CAF                 push    edx
CODE:00403CB0                 mov     ecx, [eax-4]
CODE:00403CB3                 call    sub_402650; 结合OD在虚拟机中进行动态分析，这个CALL的主要功能是将之前保存在edx中的字符串（病; 毒信息与作者感言）拷贝到上面所分分配的堆空间中。如图5所示。
CODE:00403CB8                 pop     edx
CODE:00403CB9                 pop     eax
CODE:00403CBA                 jmp     short loc_403CC0

        至此，sub_403C98分析完毕。这个函数有两个参数，由于采用的是Delphi编译器，因此在反汇编中，第一个参数保存在eax中，第二个参数保存在edx中。这个函数首先完成堆空间的申请，然后将edx中保存的字符串复制到新申请的空间中。这个函数在最初赋值的时候，eax的值均为0，而在执行后，eax中保存的就是新申请的堆空间中，所复制的字符串的首地址。为了易于观察，我把IDA Pro中的sub_403C98重命名为AllocStackAndCopyString，如下图所示：

图6 函数重命名

        接下来有：

图7 分析sub_405360函数

        这里又是两个字符串，其中第一个是“xboy”，而第二个借助于OD可以知道是一堆乱码：

图8 乱码字符串

        之后可以借助于OD进入sub_405360内部进行动态查看，不过这里我们无需关注所有的细节，仅仅有一处循环需要注意：

CODE:004053D1 loc_4053D1:                             ; CODE XREF: sub_405360+B5 j
CODE:004053D1                 mov     eax, [ebp+var_14]
CODE:004053D4                 call    sub_403ECC
CODE:004053D9                 push    eax
CODE:004053DA                 mov     eax, ebx
CODE:004053DC                 pop     edx
CODE:004053DD                 mov     ecx, edx
CODE:004053DF                 cdq
CODE:004053E0                 idiv    ecx
CODE:004053E2                 mov     edi, edx
CODE:004053E4                 inc     edi
CODE:004053E5                 mov     eax, [ebp+var_14]
CODE:004053E8                 movzx   eax, byte ptr [eax+edi-1]; 每次循环逐字节取出“xboy”中的字符进行运算，注意这里首先取出的是“b”。
CODE:004053ED                 mov     ecx, 0Ah; 将ecx赋值为0x0A，作为接下来除法运算的除数。
CODE:004053F2                 xor     edx, edx; 清空edx。
CODE:004053F4                 div     ecx; 做除法运算，商保存在eax中，余数保存在edx中。
CODE:004053F6                 mov     eax, [ebp+var_4]; 这里由于给eax重新赋值，说明程序实际想使用的是edx中的余数。
CODE:004053F9                 movzx   eax, byte ptr [eax+ebx-1]; 每次循环逐字节取出乱码中的字符，赋值给eax进行接下来的运算。
CODE:004053FE                 xor     edx, eax; 异或运算，结果保存在edx中，也就是通过运算最终得出的字符。
CODE:00405400                 lea     eax, [ebp+var_18]
CODE:00405403                 call    sub_403E2C
CODE:00405408                 mov     edx, [ebp+var_18]
CODE:0040540B                 lea     eax, [ebp+var_10]
CODE:0040540E                 call    sub_403ED4
CODE:00405413                 inc     ebx
CODE:00405414                 dec     esi
CODE:00405415                 jnz     short loc_4053D1

        很明显，这是一段解密代码，利用关键字“xboy”将乱码进行还原，通过OD观察，可以得到还原后的字符串为“***武*汉*男*生*感*染*下*载*者***”。那么就可以将函数sub_405360重命名为：DecodeString。继续分析：

图9 分析sub_404018函数

        这里第一句反汇编代码中的[ebp-14h]所保存的就是上面经过解密后的字符串的地址，而ds:dword_40E7D4保存的是之前所分配的堆空间中所保存的字符串地址。通过OD的动态分析，我们很容易就能够确定sub_404018函数的用途是对字符串进行比较，那么可以将其重命名为：StringCmp。正常来说经过比对之后，二者是一致的，所以下面“相等则跳转”就会执行，跳到loc_40CBBC处执行：

        由于之前已经进行了相应的分析，并进行了重命名的工作，所以这里的代码功能就一目了然了。首先进行解密，然后是字符串的比对。那么接下来的条件跳转也会成立，直接来到loc_40CBE6：

图11 loc_40CBE6处的代码

        这里连续使用了3个CALL，限于篇幅，我会在接下来的文章中再做分析。

 

小结

        本文对“熊猫烧香”病毒样本的反汇编程序的起始部分做了初步的分析。由于反汇编代码总会出现各种调用与跳转，所以分析时会显得很是凌乱，可能会打消大家的积极性。可见逆向分析工作需要各位读者的耐心与细致。耐心，需要大家沉得住气，不断跟踪每一个可疑的CALL；细致，需要大家时刻留意寄存器中的内容，才能够找到我们需要的信息。当然经验也是非常重要的。成功分析出病毒功能的喜悦是不言而喻的，它也吸引着病毒分析人员不断探索，一口气完成工作。也希望各位读者能够以此作为起点，体验到其中的乐趣。