|
|
|
|
|
[求助]自己学习分析病毒的时候又遇到的一个麻烦
个人只分析到了,创建C:\SYSTEM32\XP-xxxxxxx,同时主程序结束进程,但是子程序的线程找不到。 |
|
[求助]自己学习分析病毒的时候又遇到的一个麻烦
我个人分析是载入OD,F8。 |
|
[求助]自己学习分析病毒的时候遇到的一个壳
Morgion 这个样本是个Sality,而且这类壳是常见的俄制PE Loader壳。如果控制好断点,你可以获取到最原始的PE镜像。用OD载入样本以后,在VirtualAlloc下断,见到第一个分配RWX内存的地方, ...大大,有空你能不能做个视频给我看看或者GIF都可以,感激不尽。 |
|
[求助]自己学习分析病毒的时候遇到的一个壳
Morgion 如果你断到rep movsb的话,在数据窗口查看此时ESI指向的内存区域,你会发现PE的。知道啦,谢谢大大,我之前下的是写入断点,没在rep movsb断下。 |
|
[求助]自己学习分析病毒的时候遇到的一个壳
Morgion 不需要联网,直接跑的可以。就是大大,我想问问,我在rep movsb循环里面找不到PE文件头格式,我知道它里面有个循环jne和jmp。EIP中查看数据窗口就是找不到。 |
|
[求助]自己学习分析病毒的时候遇到的一个壳
Morgion 这个样本是个Sality,而且这类壳是常见的俄制PE Loader壳。如果控制好断点,你可以获取到最原始的PE镜像。用OD载入样本以后,在VirtualAlloc下断,见到第一个分配RWX内存的地方, ...本人对于这壳是萌新,大佬能不能给个图文教程或者视频的,感激不尽。 |
|
[求助]自己学习分析病毒的时候遇到的一个壳
谢谢大大的思路,顺便问下大大,这病毒是不是得在联网的情况下才能完整的提取? |
|
[求助]自己学习分析病毒的时候遇到的一个壳
我尝试尝试,我还想问一句,这病毒是不是得在联网的情况下才可以完整的去调式? |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值