|
[原创]手脱加三层壳(未知壳+UPX壳+未知壳)的病毒样本程序
呵呵,客气。我也很一般的。 |
|
[原创]手脱加三层壳(未知壳+UPX壳+未知壳)的病毒样本程序
问题:1、如何获得“三层壳”的认识呀? 回答:貌似没有识别这个的软件,呵呵。只可以去根据经验自己去判断。因为一般壳都有明显的分界线,如果你见过的壳足够多的话,当你脱去一层壳时,自己是知道的。然后记住自己一共脱了几层壳,就知道目标程序一个加了几层壳的。 问题:2、具是采用“脱一层修补,再脱再修补”还是“一鼓作气剥到底”的方法呢?? 回答:最好的方法当然是全部脱完在修复,呵呵。如果没脱完你修复的并不一定是程序内部的输入表的。你可以脱一层记一点笔记,方便再次脱时提高效率。 |
|
[原创]手脱加三层壳(未知壳+UPX壳+未知壳)的病毒样本程序
呵呵。谢谢支持。我也喜欢“精华”。 |
|
|
|
[原创]MD5校验器 V1.0.1.2版
效验多文件或多文件夹时,直接把多个文件和多个文件夹用鼠标全部选中,往窗口上拖就行。 |
|
[原创]MD5校验器 V1.0.1.2版
恩,MD5效验的软件是多。但功能全、准确率高的少。所以我才写了个这个终结版。 你用用就知道了,功能很好用的。 特点在于: 进度显示绝对准确、支持开始终止操作、支持多文件多文件夹扫描、效验时软件界面不卡、支持磁盘最大文件扫描等等。 |
|
|
|
[原创]逆向动态调试分析“基于MFC对话框(非文本框)程序”时,定位主程序代码开头的方法
LS的斑竹好啊。 发贴的时候不是可以显示自己设置的签名吗? 我只找到设置[是否显示签名]了,但没找到哪里可以添写签名的信息,郁闷。 |
|
[原创]逆向动态调试分析“基于MFC对话框(非文本框)程序”时,定位主程序代码开头的方法
顶个帖子,看有没有签名! |
|
[原创]驱动加载工具(InstDrv - V1.3中文版)
,谢谢支持,大家喜欢就好,呵呵。 |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
呵呵,感谢大家还回来看看帖子。 这个文章里的内容在逆向程序时,还是很有用处的。 我就常在我的程序入口内,在程序工作前,做些干扰性的异常(比如MFC类的异常处理),貌似反动态跟踪效果还不错,呵呵。最起码可以难住那些菜鸟们。 |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
呵呵,我们说的不是一个话题。这个和SDK和壳和异常处理的方式无关。 是介绍:开发人员故意在程序的开头制造一个或多个异常,使用系统提供的方式去处理这个异常,然后捕捉处理异常后,要执行的代码的位置。主要是介绍使用简单方法获得异常处理后要执行代码的位置,不是怎么处理的异常。:) |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
[QUOTE='UD]Arthas;450158']更新了一点东西,添加上了ExeStealth壳的运行流程和脱壳方法。 虽然我说的第一个方法很垃圾,但还是纠正一下,我说的是执行到返回(ctrl+F9),不是忽略执行(shift+F9),至于说跟进系统空间代码太多的问题,我没有见过楼主的病毒不知道,在我举例的这个壳里面,很短的,你F8执行下来ret...[/QUOTE] 我们说的好象不是同一个种类的异常处理。 您说的始终是壳制造的异常,所以处理代码短。 我说的是程序中的异常,不是壳。是程序调用MFC框架类构造的异常,需要跟很多代码的。 我明白您说的是“(ctrl+F9)”,我写的(shift+F9)是我方法中需要用到的。在某些情况下是不可以“(ctrl+F9)”的,程序会运行出错或跑飞。 您可能没看懂我写的内容的关键点,我们讨论的不是一个话题。您说的是壳内,我说的是程序内部。 |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
只知道一个病毒的原理是不行的,想看原理直接IDA就OK。 但如果想按照病毒所执行的顺序去动态跟踪分析程序,那么必须得突破这个恶意的异常处理干扰,才能知道执行完毕这个系统异常处理后,病毒接着最先执行了什么恶意代码,然后执行了什么恶意代码,这些光靠猜测是不准的。 |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
貌似没关系,可能我们说的不是一个东西,呵呵。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值