[原创]一次简单的病毒分析-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (2)
hkwind 雪币： 292 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	hkwind 2 楼快速翻了下代码，没有细看，你的问题关键点在00401670处，这里通过拿iphlpapi.GetAdaptersInfo 的信息来判断是否在虚拟机，如果在虚拟机就不解密资源里面的东西，由于这里你强行跳过去了，所以没有让程序解密资源，最后返回值是0，而不是解密代码后的地址，所以在00401412处会异常，空地址。只需要让0040172A处让他跳过去就行，这样的地方有几个，随便改一个跳过去就绕过了Adapter检测，后面就能正常解密资源在返回的时候拿到资源的地址：） 2018-3-7 17:52 0
Editor 雪币： 46700 活跃值： (67331) 能力值： (RANK：145 ) 在线值：发帖 2539 回帖 5426 粉丝 2250 关注私信	Editor 3 楼 2018-3-15 14:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
hkwind 雪币： 292 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	hkwind 2 楼快速翻了下代码，没有细看，你的问题关键点在00401670处，这里通过拿iphlpapi.GetAdaptersInfo 的信息来判断是否在虚拟机，如果在虚拟机就不解密资源里面的东西，由于这里你强行跳过去了，所以没有让程序解密资源，最后返回值是0，而不是解密代码后的地址，所以在00401412处会异常，空地址。只需要让0040172A处让他跳过去就行，这样的地方有几个，随便改一个跳过去就绕过了Adapter检测，后面就能正常解密资源在返回的时候拿到资源的地址：） 2018-3-7 17:52 0
Editor 雪币： 46700 活跃值： (67331) 能力值： (RANK：145 ) 在线值：发帖 2539 回帖 5426 粉丝 2250 关注私信	Editor 3 楼 2018-3-15 14:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复