vb 特征碼分析

1、一般來說VB程序很難入手分析，除了利用一些已經(jīng)被分析出來的VB庫導(dǎo)出函數(shù)，在很少有入口去進(jìn)行分析了。1、特征碼又稱電腦病毒特征碼，它主要由反病毒公司制作，一般都是被反病毒軟件公司確定為只有該病毒才可能會(huì)有的一串二進(jìn)制字符串，而這字符串通常是文件里對應(yīng)程式碼或匯編指令的地址。殺毒軟件會(huì)將這一串二進(jìn)制字符串用某種方法與目標(biāo)文件或處理程序作對比，從而判定該文件或進(jìn)程是否感染病毒。2、過去在某一種電腦病毒大爆發(fā)時(shí)，一些反病毒公司可能會(huì)采取計(jì)算整個(gè)病毒文件的MD5或SHA-256作為特征碼的方法來加快查殺效率。而在平時(shí)，會(huì)采用以靜態(tài)分析文件的結(jié)構(gòu)為主并結(jié)合動(dòng)態(tài)的分析的方法，通過反匯編來尋找病毒的內(nèi)容代碼

2、段、入口點(diǎn)代碼段等等信息。一般提取2個(gè)以上的代碼段，有時(shí)會(huì)直接采用入口點(diǎn)的代碼段來制作特征碼。3、VB是分塊取串，其方法為在需要調(diào)用的API函數(shù)附近取串UMIDownloadToFile，F(xiàn)indWindow，WinExe，ShellExcuse，RegCreateKey還有遍歷進(jìn)程比較明顯的字符串。4、特征碼掃描是殺毒軟件的主要利器，用來區(qū)分一個(gè)文件是否為病毒。特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時(shí)將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。注意：這并不一定是病毒所獨(dú)有的，所以有的時(shí)候殺毒軟件會(huì)誤報(bào)。提取特征碼的過程往往是通過需要反病毒專家人工干

3、預(yù)和自動(dòng)處理產(chǎn)生的。5、特征碼檢測是檢測計(jì)算機(jī)病毒最簡單、最準(zhǔn)確的方法。它使用從特定病毒中提取出來的代碼特征序列進(jìn)行檢測。隨著時(shí)間的推移該技術(shù)也發(fā)展出許多“改進(jìn)版”。這就類似刑偵學(xué)中的指紋鑒別技術(shù)。6、可以將VB病毒分為四種：1）、本機(jī)編譯，F(xiàn)orm_Load啟動(dòng)2）、本機(jī)編譯，SubMain啟動(dòng)3）、P-CODE編譯，F(xiàn)orm_Load啟動(dòng)4）、P-CODE編譯，SubMain啟動(dòng)7、常見的VB函數(shù)：MultiByteToWideChar將ANSI字符串轉(zhuǎn)換成UNICODE字符WideCHatToMultiByte將UNICODE字符轉(zhuǎn)換成ANSI字符rtcT8ValFromBstr把字符轉(zhuǎn)

4、換成浮點(diǎn)數(shù)vbaStrCmp比較字符串（常用斷點(diǎn)）vbaStrComp字符串比較（常用斷點(diǎn)）vbaStrCopy復(fù)制字符串StrConv轉(zhuǎn)換字符串vbaStrMove移動(dòng)字符串_vbaVarCat連接字符串rtcMidCharVar在字符串中取字符或者字符串!_vbaLenBstr取字符串的長度vbaVarTstNe變量比較vbaVarTstEq變量比較rtcMsgBox顯示對話框VarBstrCmp比較字符串VarCyCmp比較字符串8、VB的入口特征：pushxxxxxcall在VB程序中，有很多方法可以初始化nag窗口。最常用的一種類似于：Form.show這句話被編譯后，在程序中變成以

5、下形式：:0040203DFF92B0020000calldwordptredx+000002B0所以，反匯編源程序，搜索字符串+000002B0就可以找到這個(gè)地方。其中的寄存器一般為edx,ecx或者eax.如果要去掉這種nag，可以去掉這個(gè)call，但是有時(shí)候移除這個(gè)call的時(shí)候需要平衡堆棧，因?yàn)閚op掉該函數(shù)會(huì)導(dǎo)致esp高24h，可以采用以下方法移除：:0040203D83C424addesp,00000024:00402040EB01jmp00402043:0040204290nop一般也可以通過對函數(shù)_vbanew2下斷點(diǎn)斷到這個(gè)地方。這個(gè)函數(shù)是窗口創(chuàng)建時(shí)候采用的函數(shù)，但是并不是類

6、似于DialogBoxParamA的函數(shù)，而只是一個(gè)聲明函數(shù)，比如：DimNagScreenasNewNagFormNagScreen.Show另外一種顯示nag窗口的方法是加載的時(shí)候利用窗口的visible屬性。屬性設(shè)定為false就不顯示，否則就顯示。屬性的設(shè)置一般利用下面語句：NagForm.Visible=True編譯后變成如下形式：:00401FF96AFFpushFFFFFFFF-這是VB中的TRUE變量:00401FFB50pusheax:00401FFC898568FFFFFFmovdwordptrebp+FFFFFF68,eax:004020028B10movedx,dwordptreax:00402004FF92BC010000calldwordptredx+000001BC-初始化屬性的函數(shù)可以通過搜索特征碼+000001BC來定位到這個(gè)地方。對付這種nag，只需要修改一下屬性變量就行了。VB中00代表False，所以把上面的變量改成00就可以，例如：:00401FF96A00push00:00401FFB50pusheax:00401FFC898568FFFFFFmovdwordptre