第五步,回到跳转位置0x004081E8,对其进行分析。
在OD中跳转到该位置,然后按下F2下一个断点,并执行到断点处。
- 0x0040818 JE 004082F0
正常来说,由于我们当前所分析的程序并不是drivers目录下的那个病毒样本,因此这个跳转是不成立的。这里为了使其成立,可以将JZ修改为JNZ,但是这改变了病毒程序。最好的办法是改变ZF标志位,将原来的0改为1就可以了。
第六步,双击ZF标志位,它会变成1。
双击后可以看到提示“跳转已实现”,现在这个病毒就以为自己是spoclsv.exe。
第七步,按下F8执行到4082F0位置
真正实现病毒功能的也就是“spoclsv.exe”这个程序。
希望大家可以有所收获!!!
![[病毒分析]熊猫烧香(下)核心函数部分分析(二)](https://ucc.alicdn.com/pic/developer-ecology/65723a3f479d4dbd93899d41da8ff506.png?x-oss-process=image/resize,h_160,m_lfit)
![[病毒分析]熊猫烧香(下)核心函数部分分析(一)](https://ucc.alicdn.com/pic/developer-ecology/ff7eaebfa73641f590b1df8fc7084ba2.png?x-oss-process=image/resize,h_160,m_lfit)
![[病毒分析]熊猫烧香(下)核心函数部分分析(三)](https://ucc.alicdn.com/pic/developer-ecology/3587afedcb284d188fbe79b1875ee8e7.png?x-oss-process=image/resize,h_160,m_lfit)
![[病毒分析]熊猫烧香(上)初始分析(一)](https://ucc.alicdn.com/pic/developer-ecology/cc47be1243ce4b9b85c3b9db8556d2e0.png?x-oss-process=image/resize,h_160,m_lfit)
![[病毒分析]熊猫烧香(上)初始分析(三)](https://ucc.alicdn.com/pic/developer-ecology/bdf27cd041054f71aaef95aafef4990b.png?x-oss-process=image/resize,h_160,m_lfit)