vb 特征码分析

1、一般来说VB程序很难入手分析，除了利用一些已经被分析出来的VB库导出函数，在很少有入口去进行分析了。1、特征码又称电脑病毒特征码，它主要由反病毒公司制作，一般都是被反病毒软件公司确定为只有该病毒才可能会有的一串二进制字符串，而这字符串通常是文件里对应程式码或汇编指令的地址。杀毒软件会将这一串二进制字符串用某种方法与目标文件或处理程序作对比，从而判定该文件或进程是否感染病毒。2、过去在某一种电脑病毒大爆发时，一些反病毒公司可能会采取计算整个病毒文件的MD5或SHA-256作为特征码的方法来加快查杀效率。而在平时，会采用以静态分析文件的结构为主并结合动态的分析的方法，通过反汇编来寻找病毒的内容代码

2、段、入口点代码段等等信息。一般提取2个以上的代码段，有时会直接采用入口点的代码段来制作特征码。3、VB是分块取串，其方法为在需要调用的API函数附近取串UMIDownloadToFile，FindWindow，WinExe，ShellExcuse，RegCreateKey还有遍历进程比较明显的字符串。4、特征码扫描是杀毒软件的主要利器，用来区分一个文件是否为病毒。特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。注意：这并不一定是病毒所独有的，所以有的时候杀毒软件会误报。提取特征码的过程往往是通过需要反病毒专家人工干

3、预和自动处理产生的。5、特征码检测是检测计算机病毒最简单、最准确的方法。它使用从特定病毒中提取出来的代码特征序列进行检测。随着时间的推移该技术也发展出许多“改进版”。这就类似刑侦学中的指纹鉴别技术。6、可以将VB病毒分为四种：1）、本机编译，Form_Load启动2）、本机编译，SubMain启动3）、P-CODE编译，Form_Load启动4）、P-CODE编译，SubMain启动7、常见的VB函数：MultiByteToWideChar将ANSI字符串转换成UNICODE字符WideCHatToMultiByte将UNICODE字符转换成ANSI字符rtcT8ValFromBstr把字符转

4、换成浮点数vbaStrCmp比较字符串（常用断点）vbaStrComp字符串比较（常用断点）vbaStrCopy复制字符串StrConv转换字符串vbaStrMove移动字符串_vbaVarCat连接字符串rtcMidCharVar在字符串中取字符或者字符串!_vbaLenBstr取字符串的长度vbaVarTstNe变量比较vbaVarTstEq变量比较rtcMsgBox显示对话框VarBstrCmp比较字符串VarCyCmp比较字符串8、VB的入口特征：pushxxxxxcall在VB程序中，有很多方法可以初始化nag窗口。最常用的一种类似于：Form.show这句话被编译后，在程序中变成以

5、下形式：:0040203DFF92B0020000calldwordptredx+000002B0所以，反汇编源程序，搜索字符串+000002B0就可以找到这个地方。其中的寄存器一般为edx,ecx或者eax.如果要去掉这种nag，可以去掉这个call，但是有时候移除这个call的时候需要平衡堆栈，因为nop掉该函数会导致esp高24h，可以采用以下方法移除：:0040203D83C424addesp,00000024:00402040EB01jmp00402043:0040204290nop一般也可以通过对函数_vbanew2下断点断到这个地方。这个函数是窗口创建时候采用的函数，但是并不是类

6、似于DialogBoxParamA的函数，而只是一个声明函数，比如：DimNagScreenasNewNagFormNagScreen.Show另外一种显示nag窗口的方法是加载的时候利用窗口的visible属性。属性设定为false就不显示，否则就显示。属性的设置一般利用下面语句：NagForm.Visible=True编译后变成如下形式：:00401FF96AFFpushFFFFFFFF-这是VB中的TRUE变量:00401FFB50pusheax:00401FFC898568FFFFFFmovdwordptrebp+FFFFFF68,eax:004020028B10movedx,dwordptreax:00402004FF92BC010000calldwordptredx+000001BC-初始化属性的函数可以通过搜索特征码+000001BC来定位到这个地方。对付这种nag，只需要修改一下属性变量就行了。VB中00代表False，所以把上面的变量改成00就可以，例如：:00401FF96A00push00:00401FFB50pusheax:00401FFC898568FFFFFFmovdwordptre