-
-
[旧帖]
[求助]召唤N人解释下---超级奇怪的PE
0.00雪花
-
发表于:
2010-3-9 13:15
1452
-
[旧帖] [求助]召唤N人解释下---超级奇怪的PE
0.00雪花
今天朋友传给我一个外挂让我看看是不是有病毒木马。
我拿到程序之后习惯性的右击,看看有没有用WinRAR打开,防止是用WinRAR捆绑的病毒。
结果一看,果然有“使用WinRAR打开选项”,于是使用RAR打开了。发现里面只有一个皮皮的安装程序。没有其他任何东西。再看看自解压选项也没有可疑。就奇怪了,这哪是什么外挂。分明就是一个皮皮播放器的安装程序嘛。我还把皮皮用RAR分离出来在虚拟机中运行。也没有发现异常。就是普普通通的安装程序。
正当我准备下结论的时候,就顺便把整个程序传到虚拟机中运行了。奇怪的事出现了,并没有出现预想的皮皮安装程序,而是一个外挂的登录界面。又将程序传入沙盘,运行,仍然是一个外挂登录界面,关掉外挂后,没有什么残留的进程。
再用PEID查壳,显示VC++。于是就用OD载入分析。就下断了MessageBoxA。返回到程序领空后发现代码乱七八糟,很难理解。
所以,想向看雪的大人们请教下,这是什么情况呢?
我的猜想是:这个文件经过捆绑,一个是外挂一个是PIPI自解压文件。然后程序的入口点是外挂的入口点。所以运行时候是外挂,但是其中某些数据格式符合RAR自解压文件。所以RAR认为他是自解压文件。能够用RAR打开。不知道我的猜测是否正确呢?还望大人解惑。感激不尽.
附下载地址:http://www.vdisk.cn/down/index/4174994A2964
[课程]Linux pwn 探索篇!