您的位置：首页 > 编程语言 > Delphi

【逆向】Delphi程序逆向之熊猫烧香病毒分析

2020-02-16 08:55 435 查看

1、前言

本文主要用于记录Delphi程序逆向的一些方法和技巧，以及熊猫烧香病毒的分析过程。

2、分析技巧

2.1 使用IDR或DEDE加载Delphi程序，导出Map文件，将Map文件导入OD。

2.2 IDA加载Delphi程序后，根据实际情况修改编译器选项，ASCII字符串风格，增加代码可读性。

2.3 IDA添加Delphi程序签名文件，识别常用系统函数调用。

2.4 由于IDR对Delphi库函数的识别率比IDA高，动态调试时，可以配合OD/IDA一起使用。

2.5 常用Delphi系统库函数，可以查看Delphi system文件，也可以参考文末参考链接。

2.6 Delphi程序，使用fastcall调用约定，前2个参数使用eax,edx传递，其余参数从左到右依次压栈，堆栈由被调用者恢复。(由于编译器不同，寄存器，压栈顺序可能不同，视具体情况而定)

1 004529A9    push       dword ptr ds:[455C00];   //参数3:"Hello"
2 004529AF    push       452A18; ' '              //参数4:" "
3 004529B4    push       dword ptr ds:[455C04];   //参数5:"World"
4 004529BA    lea        eax,[ebp-4]              //参数1
5 004529BD    mov        edx,3                    //参数2
6 004529C2    call       @LStrCatN                LStrCatN(lpBuff,3,"Hello"," ","World")

3、分析流程

3.1 流程图

3.2 静态分析

3.2.1 分析导入表

1 文件：
2     0x0000       "CreateFileA"
3     0x0000       "WriteFile"
4     0x0000       "ReadFile"
5     0x0000       "FindNextFileA"
6 网络：
7     0x0000       "socket"
8     0x0000       "connect"
9     0x0000       "InternetReadFile"
10     0x0000       "InternetOpenUrlA"
11 服务：
12     0x0000       "OpenServiceA"
13     0x0000       "OpenSCManagerA"
14     0x0000       "DeleteService"
15     0x0000       "ControlService"
16     0x0000       "CloseServiceHandle"
17 进线程：
18     0x0000       "CreateThread"
19     0x0000
22624
"TerminateProcess"
20     0x0000       "WinExec"
21 注册表：
22     0x0000       "RegSetValueExA"
23     0x0000       "RegDeleteValueA"
24     0x0000       "RegCreateKeyExA"
25 其它：
26     0x0000       "SetTimer"
27     0x0000       "NetRemoteTOD"
28     0x0000       "NetScheduleJobAdd"
29     0x0000       "URLDownloadToFileA"
30     0x0000       "OpenProcessToken"
31     0x0000       "LookupPrivilegeValueA"
32     0x0000       "AdjustTokenPrivileges"
33     0x0000       "WNetAddConnection2A"
34     0x0000       "WNetCancelConnectionA"