首页
社区
课程
招聘
[求助]对于加了壳的驱动文件,怎么脱壳?
发表于: 2016-4-7 10:00 8896

[求助]对于加了壳的驱动文件,怎么脱壳?

2016-4-7 10:00
8896
现在还没理出思路。
请高手支招

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
一般驱动加壳分三种:
1.ASPACK及其类似的壳,你可以用WinDbg结合ESP定律脱。
2.FUD类的Loader。这种在俄制Botnet中常见,这样的你可以在ExAllocatePool(WithTag)/ExFreePool(WithTag)上下条件断点,条件是判断返回地址是否在第一个Stage的Image范围,然后在他返回或者传入的Pool找MZ标志,完事.writemem就可以把原始驱动完整的搞出来。
3.TMD/VMP类的,这种难度在还原VM,这里不说了
2016-4-7 10:41
0
雪    币: 1635
活跃值: (148)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢。
我要找点资料看看。要学的太多了。
2016-4-7 13:38
0
游客
登录 | 注册 方可回帖
返回
//