[原创]感染形病毒分析与恢复[3]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
猥琐菜鸟雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 94 粉丝 0 关注私信	猥琐菜鸟 2 楼病毒分析,专杀这块..刚开始学..有用.就顶下你.. 2011-5-27 01:56 0
复杂雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	复杂 3 楼膜拜高手。。。 2011-5-27 08:58 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼膜拜暗黑3 2011-5-27 09:03 0
alexy 雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	alexy 5 楼在识别中可以考虑多加一点特征判断，如 0040B00C 5E pop esi 0040B00D 90 nop 2011-5-27 09:07 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 6 楼学习。。。。 2011-5-27 09:50 0
雪之苏雪币： 232 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 7 楼额忘了说点如果是那种完美的清除还要记得把导入表中 2个函数恢复下因为那2个函数被改到感染区我这么不完美清除倒是不需要 2011-5-27 13:51 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 8 楼谢谢了。。我下来去杀下。全盘的EXE都感染了。汗 2011-5-27 20:11 0
logkiller 雪币： 8222 活跃值： (3361) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 777 粉丝 1 关注私信	logkiller 9 楼膜拜，順便說下，打不開程序，出什麼內存錯誤 2011-5-27 20:26 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 10 楼运行出错。。。。。不知道怎么回事。怎么弄也没发弄。太笨了。怎么使用？ 2011-5-27 22:49 0
aosemp 雪币： 242 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	aosemp 11 楼 "开始代码段第一个字节要么为 nop(0x90) 要么就是push(0x68)" 不一定，我遇見過mov eax, 0xxxxxx的。接下來解密的0x80字節左右裏面有IAT和OEP，不過每個exe偏移不一樣（因爲解密頭長度不固定）。其實恢復IAT才是重點。 2011-5-27 23:21 0
雪之苏雪币： 232 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 12 楼我只能从他提供的4个被感染的中分析所以没有兼顾输入表里面就2个被改了那个恢复也很简单啊搜索下在写进去就是了而且我这种不清节代码的方法不需要恢复iat 2011-5-28 00:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
猥琐菜鸟雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 94 粉丝 0 关注私信	猥琐菜鸟 2 楼病毒分析,专杀这块..刚开始学..有用.就顶下你.. 2011-5-27 01:56 0
复杂雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	复杂 3 楼膜拜高手。。。 2011-5-27 08:58 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼膜拜暗黑3 2011-5-27 09:03 0
alexy 雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	alexy 5 楼在识别中可以考虑多加一点特征判断，如 0040B00C 5E pop esi 0040B00D 90 nop 2011-5-27 09:07 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 6 楼学习。。。。 2011-5-27 09:50 0
雪之苏雪币： 232 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 7 楼额忘了说点如果是那种完美的清除还要记得把导入表中 2个函数恢复下因为那2个函数被改到感染区我这么不完美清除倒是不需要 2011-5-27 13:51 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 8 楼谢谢了。。我下来去杀下。全盘的EXE都感染了。汗 2011-5-27 20:11 0
logkiller 雪币： 8222 活跃值： (3361) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 777 粉丝 1 关注私信	logkiller 9 楼膜拜，順便說下，打不開程序，出什麼內存錯誤 2011-5-27 20:26 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 10 楼运行出错。。。。。不知道怎么回事。怎么弄也没发弄。太笨了。怎么使用？ 2011-5-27 22:49 0
aosemp 雪币： 242 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	aosemp 11 楼 "开始代码段第一个字节要么为 nop(0x90) 要么就是push(0x68)" 不一定，我遇見過mov eax, 0xxxxxx的。接下來解密的0x80字節左右裏面有IAT和OEP，不過每個exe偏移不一樣（因爲解密頭長度不固定）。其實恢復IAT才是重點。 2011-5-27 23:21 0
雪之苏雪币： 232 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 12 楼我只能从他提供的4个被感染的中分析所以没有兼顾输入表里面就2个被改了那个恢复也很简单啊搜索下在写进去就是了而且我这种不清节代码的方法不需要恢复iat 2011-5-28 00:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复