|
[求助]自己学习分析病毒的时候遇到的一个壳
这个样本是个Sality,而且这类壳是常见的俄制PE Loader壳。如果控制好断点,你可以获取到最原始的PE镜像。 用OD载入样本以后,在VirtualAlloc下断,见到第一个分配RWX内存的地方,执行到返回,在Buffer上下一个写断点。F9执行以后你会断到一个 rep movsb的循环。这个时候查看ESI你可以得到一个含有PE文件的Buffer。Dump并且清理PE,你会得到一个PE文件,MD5是7C681B396FC1AA0973691D3D6B186853,这个文件是个UPX压缩过的PE。用UPX -d解压缩,你会得到最终的脱壳病毒。MD5是57CDE8DDD4261277272A6151855F8966 已经脱壳的文件我附加在回复里了。解压密码:infected
最后于 2018-11-13 10:13
被Morgion编辑
,原因:
|
|
[调查]《加密与解密四》印了多少本了?剧透下吧,导演~~
淘宝的已经发货了 |
|
你们的《加密解密第四版》 收到了没?
淘宝出版社官方店说9.12号 |
|
[快讯]十年磨一剑!《加密与解密(第4版)》已上市!
大煞笔 去出版社的天猫旗舰店买吧,9月3日发货:https://detail.tmall.com/item.htm?spm=a220m.1000858.1000725.1.4cf74afbCiddLD& ...现在变成9.12了。不停的跳票啊 |
|
|
|
[踩楼送门票] ISC2018全面升级3大主题日 3场国际峰会,演讲议题超400个!
论坛看上去好多啊。。。。 |
|
[讨论]论看雪开放一个软件私人订制/破解板块的可能性有多大?
说不好听的,到最后就变成定制私人木马或者是WG一类的东西。 |
|
|
|
[讨论]信息安全专业想留学读研,哪些学校比较好呢
想去那个国家 |
|
[分享]Hiew 8.63 (31 Jan 2018) Retail
kanxue 这个工具太经典了,没想到还在更新中,多谢!东欧人和俄国人喜欢这个东西。 从卡巴斯基出来的逆向工程师都用HIEW,面试他们的时候他们看他们用这玩意用的溜的不行。
最后于 2018-4-9 22:06
被Morgion编辑
,原因:
|
|
[求助]x64内联hook 因何不能持久?
如果是x64系统的话,PatchGuard被触发了吧 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值