[求助]这是壳还是代码加密?sysanti.exe-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 2 楼这个毒我也有收藏，这周末有事干了。 2009-11-6 15:56 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼其实我只想知道 CODE:0040A60E E8 04 00 00 00 call near ptr loc_40A613+4 CODE:0040A613 CODE:0040A613 loc_40A613: ; CODE XREF: start+2Ap CODE:0040A613 E8 E8 EB 0E 58 call near ptr 584F9200h CODE:0040A613 start endp CODE:0040A613 CODE:0040A618 EB 02 jmp short loc_40A61C CODE:0040A618 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪? CODE:0040A61A E8 E8 db 2 dup(0E8h) CODE:0040A61C ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪? CODE:0040A61C CODE:0040A61C loc_40A61C: ; CODE XREF: CODE:0040A618j CODE:0040A61C 83 C0 02 add eax, 2 CODE:0040A61F EB 01 jmp short loc_40A622 这段代码是怎么实现的? 标签么? 2009-11-6 22:19 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 4 楼没人就算了。我也没仔细看，而且我也不是高手。这个病毒的行为，不是特别的明显，释放一个FFFFFFFF.sys，驱动分析不来。在FONT目录下释放2个，伪装成FON的DLL,其实这两个DLL是一样的。 C:\Program Files\Common Files 释放本体，建立服务。遍历其他盘符，释放AURORUN.INF,还有ANTISYS.EXE。那个DLL跟了一会，跟丢了，今天肚子很不爽，就这样吧。如果没错，是个下载者，更核心的东西在那个驱动文件中。下载者，下载文件列表，是一个MB.ASP 额，就如此了。 2009-11-7 15:57 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼这毒放了驱动的说,把驱动发上来看看哪..... 2009-11-8 03:33 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 6 楼哦，最近没上网，所以也没有来看帖子，现在发上了，不晚吧。 FFFFFFFF.rar 上传的附件： FFFFFFFF.rar （17.46kb，12次下载） 2009-11-10 19:20 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 7 楼貌似是Delphi陷入花指令~ 2009-11-11 01:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 2 楼这个毒我也有收藏，这周末有事干了。 2009-11-6 15:56 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼其实我只想知道 CODE:0040A60E E8 04 00 00 00 call near ptr loc_40A613+4 CODE:0040A613 CODE:0040A613 loc_40A613: ; CODE XREF: start+2Ap CODE:0040A613 E8 E8 EB 0E 58 call near ptr 584F9200h CODE:0040A613 start endp CODE:0040A613 CODE:0040A618 EB 02 jmp short loc_40A61C CODE:0040A618 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪? CODE:0040A61A E8 E8 db 2 dup(0E8h) CODE:0040A61C ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪? CODE:0040A61C CODE:0040A61C loc_40A61C: ; CODE XREF: CODE:0040A618j CODE:0040A61C 83 C0 02 add eax, 2 CODE:0040A61F EB 01 jmp short loc_40A622 这段代码是怎么实现的? 标签么? 2009-11-6 22:19 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 4 楼没人就算了。我也没仔细看，而且我也不是高手。这个病毒的行为，不是特别的明显，释放一个FFFFFFFF.sys，驱动分析不来。在FONT目录下释放2个，伪装成FON的DLL,其实这两个DLL是一样的。 C:\Program Files\Common Files 释放本体，建立服务。遍历其他盘符，释放AURORUN.INF,还有ANTISYS.EXE。那个DLL跟了一会，跟丢了，今天肚子很不爽，就这样吧。如果没错，是个下载者，更核心的东西在那个驱动文件中。下载者，下载文件列表，是一个MB.ASP 额，就如此了。 2009-11-7 15:57 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼这毒放了驱动的说,把驱动发上来看看哪..... 2009-11-8 03:33 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 6 楼哦，最近没上网，所以也没有来看帖子，现在发上了，不晚吧。 FFFFFFFF.rar 上传的附件： FFFFFFFF.rar （17.46kb，12次下载） 2009-11-10 19:20 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 7 楼貌似是Delphi陷入花指令~ 2009-11-11 01:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]这是壳还是代码加密?sysanti.exe 0.00雪花