|
[求助]病毒分析求助honeynetForensic Challenge 8 - "Malware Reverse Engineering"
那些我在第一個動作我就看到了,只是我在看說,主要執行那個程式碼的地方,還有,就是能不能拖吊第二層的殼之後還能正常感染 |
|
[原创]破解植物大战僵尸--植物无cd(申请邀请码)
呵呵,小弟我把所有可以改寫的我全部都改寫了,現在我的植物大戰殭屍已經快要無敵了。 |
|
[求助]病毒分析求助honeynetForensic Challenge 8 - "Malware Reverse Engineering"
剛剛大概分析完全了,他除了創建資料夾外,他還會用windows的檔案系統漏洞建立一個刪除不掉的資料夾。 現在正在看它裡面有甚麼東西,這個病毒跟我上次遇到的很像。 目前的動作就這些,我正在想辦法還原他的程式碼,因為他程式碼有兩段,UPX脫殼後的是第一段 之後會跳到003XXXXX的記憶體,之後再跳回去,這個是第二段。 它的目的只是讓你無法分析出來,所以他也不一定要寫有用的程式碼。 第二段程式碼才是重要的程式碼,第一段的程式碼其實是垃圾。 而且目前是要用他的upx脫殼後的程式去分析,我現在正在研究看看能不能直接用它裡面的那段就好了。 第二段的UPX在00450CD0 總共兩個UPX,再加上一堆垃圾代碼,還有一個不知道從哪讀取的resource,之後就將那些資料寫道003XXXXX,跳到那裏執行,之後就可以createmutexA 大概就這樣。 |
|
[求助]病毒分析求助honeynetForensic Challenge 8 - "Malware Reverse Engineering"
0.0 其實他外面有一層˙很像殼層的東西 我還在分析中,有跳到程式外在跳回去不過就跑飛了。 |
|
帮帮忙啊。。。。upack
此程序,是VB程序,所以脫殼很簡單,upack的程序,有個特色,他會用je 跳到OEP。 你就找跨段的je就好了0f84XXXXXXXX這樣的hex 至於OEP,因為是VB程序,所以修復很簡單。 dumped_.7z |
|
[求助]为什么unicode程序反汇编后是这样的?
分析的他不太準,所以他會容易跑掉,這個很正常,你只要重新分析,或者是滾輪在動一動,就會恢復 = =。 |
|
|
|
[求助][原创]有人会.net的脱壳吗,帮忙看看
基本上你可以直接修改hex,不一定要先編一成il再弄回去。 |
|
[求助]未知壳,直接调外部数据块
ollydbg會比用IDA好。 |
|
求解驱动蓝屏
在某一個看到的是你驅動的異常沒有處理。你要檢查看看是甚麼驅動出問題。 |
|
[求助]用OD加载老出现蓝屏
呵呵,OD很多插件,會出現問題,或者是跟原有的相衝,你就只能慢慢地測試,不過通常不建議用phantom的驅動,比較容易出現藍屏 |
|
[求助]PC GUARD 5.5脱壳后XP下OK,win7 64下退出时报错
X64,大大,你還真猛,olly雖然他有2.0,但是對X64的支援不好= = ,你還是換回X86去用 = =。 |
|
[求助]请帮忙看看这个是什么壳?
是C++,但是你沒看過而已 = =,那個是C++6.0以後的了。 |
|
[求助]请帮忙看看这个是什么壳?
C++的程序,PEID很容易誤判 |
|
[求助]这个程序脱壳后的自校验如何去除,请大师们指点下.
你直接斷在exitprocess,程式執行的過程中,應該會中斷下來,這個時候看堆棧,大概是第二個返回地址,就是需要修改的地方。 |
|
[求助]这个程序脱壳后的自校验如何去除,请大师们指点下.
呵呵,我只有處理剛運行時候的exitprocess,至於其他的我就沒有用了。 |
|
|
|
[求助]一个Aspr的壳,附上脱壳过程图片和原文件,请大侠指点指点小弟
我有看到CreateFileW,和GetfileSize,只是好像沒調用到,呵呵 我看到大概驗證的地方,正在試著把他的code恢復 呵呵,他把驗證的地方搬到code之外了,所以必須要去偷代碼那裏找 呵呵,小弟將程式碼補完了,真是討厭的東西= =,剛剛在補的時候,出現錯誤 = =,兩個迴圈補成一個迴圈 呵呵,小弟總算修完了,不知道會不會有錯,因為我關閉都是利用強制關閉的。 基本上,自校驗在10005A82 這個call裡面,因為作者把自校驗全部搬出去了,所以你在程式區段是找不到的,必須要跟蹤進偷代碼。 修復完的 MZDICON.7z |
|
[求助]一个Aspr的壳,附上脱壳过程图片和原文件,请大侠指点指点小弟
一樣不會出現任何東西,我在想,他可能有讀取城市某些部分,因為之前我debug過脫殼的程式,有些是直接就跳過了,即使把那個je刪掉,可以執行,但是不會有東西。 剛剛看了一下,他偷走的不少代碼,但是在開啟的過程中,沒有執行。 |
|
[求助]一个Aspr的壳,附上脱壳过程图片和原文件,请大侠指点指点小弟
呵呵,樓上的,他的代碼有被偷的,他是一個很像MASM,但是又不是的東西寫的。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值