冲击波(MSBlast)蠕虫分析报告

• 前几天针对目前流行的蠕虫冲击波(MSBlast.exe)蠕虫而写了一篇文章,在该文中我并没有描述的更详细，导致很多网友认为我的文章是Copy + Paste，而且我心里的确不舒服。写本文章的目的是为了以后分析蠕虫更简单，当作自己分析蠕虫的笔记看。另一方面是国内安全厂商都没有公布更具体的蠕虫分析报告，所以才使我写这篇文章。请高手阅读之后可以从中指出我表达错误的地方。谢谢! 微软针对该漏洞提供安全补丁下载：http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
  
  蠕虫脱壳
    8月`12日11:19分接到某公司的紧急报告，内部网遭遇不明蠕虫蠕虫攻击。下午5:00处理完之后，我将蠕虫样本取回。
    取回样本之后查看MSBlast.exe，字节数为6176字节。利用Winhex查看MSBlast.exe十六进制，发现十六进制中包含UPX字符，从经验可以断定是利用UPX压缩，但还是利用language进行识别，判定的确为UPX加壳之后，利用UPXShell将MSBlast.exe进行脱壳之后字节数为11296字节。
  
  蠕虫浅析
    利用W32dsm打开己脱壳的MSBlast.exe，可以从中分析蠕虫PE文件具体信息，对后面章节分析蠕虫有较大的帮助。
  ************************************反汇编MSBlast.exe***************************************
  Disassembly of File: msblast.exe              *反汇编文件名称:msblast.exe
  Code Offset = 00000400, Code Size = 00001458    *代码偏移量: 00000400,代码大小=00001458
  Data Offset = 00001A00, Data Size = 0000088C    *数据偏移量: 00001A00,数据大小=0000088C
  
  Number of Objects = 0004 (dec), Imagebase = 00400000h
  *对象共计= 0004 (dec), 基地址 = 00400000h
  
    Object01: .text  RVA: 00001000 Offset: 00000400 Size: 00001458 Flags: 60000020
    Object02: .bss   RVA: 00003000 Offset: 00000000 Size: 00000000 Flags: C0000080
    Object03: .data  RVA: 00004000 Offset: 00001A00 Size: 0000088C Flags: C0000040
    Object04: .idata  RVA: 00005000 Offset: 00002400 Size: 000006C0 Flags: C0000060
  
  *Object01: .text  相对虚拟地址: 00001000 偏移量: 00000400 大小: 00001458标记位: 60000020
  *Object02: .bss  相对虚拟地址: 00003000 偏移量: 00000000 大小: 00000000标记位: C0000080
  *Object03: .data  相对虚拟地址: 00004000 偏移量: 00001A00 大小: 0000088C标记位: C0000040
  
• [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 冲击波(MSBlast)蠕虫分析报告 相关文章：
• ·上网冲浪 七款主流网页浏览器评测
• ·解决IP地址冲突的方法--DHCP SNOOPING
• ·又来冲击波 Vista 最新植物壁纸30张
• ·BitBlt()双缓冲解决图象闪烁
• · 越南冲突 金手指 - 其他电子游戏秘籍
• ·局域网中IP地址冲突的探讨
• ·冲击波(MSBlast)蠕虫分析报告
• ·如何解决IRQ冲突
• ·单字节缓冲区溢出
• ·如何解决局域网内的电脑IP冲突问题
• 冲击波(MSBlast)蠕虫分析报告 相关软件
• ·《冲突：沙漠风暴2》之重返巴格达
• ·冷战：冲突
• ·冲向柏林(Rush For Berlin)
• ·《冲锋》官方精美游戏壁纸
• ·glTron(横冲直撞 TRON 赛车) V0.62
• ·《越战冲突》属性修改器两款
• ·量冲基金股票分析 V3.20
• ·冲突:越南(Conflict:Vietnam)
• ·冲击波(Worm.Msblast)安全更新程序 For WinXP 简体中文版
• ·[GBA]元气史莱姆：冲击的尾巴团

上一篇:给论坛开发者和使用者的几点建议

下一篇:反病毒引擎设计

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐