[原创]一次简单的病毒分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
hkwind 雪币： 292 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	hkwind 2 楼快速翻了下代码，没有细看，你的问题关键点在00401670处，这里通过拿iphlpapi.GetAdaptersInfo 的信息来判断是否在虚拟机，如果在虚拟机就不解密资源里面的东西，由于这里你强行跳过去了，所以没有让程序解密资源，最后返回值是0，而不是解密代码后的地址，所以在00401412处会异常，空地址。只需要让0040172A处让他跳过去就行，这样的地方有几个，随便改一个跳过去就绕过了Adapter检测，后面就能正常解密资源在返回的时候拿到资源的地址：） 2018-3-7 17:52 0
Editor 雪币： 26588 活跃值： (63252) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 3 楼 2018-3-15 14:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
hkwind 雪币： 292 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	hkwind 2 楼快速翻了下代码，没有细看，你的问题关键点在00401670处，这里通过拿iphlpapi.GetAdaptersInfo 的信息来判断是否在虚拟机，如果在虚拟机就不解密资源里面的东西，由于这里你强行跳过去了，所以没有让程序解密资源，最后返回值是0，而不是解密代码后的地址，所以在00401412处会异常，空地址。只需要让0040172A处让他跳过去就行，这样的地方有几个，随便改一个跳过去就绕过了Adapter检测，后面就能正常解密资源在返回的时候拿到资源的地址：） 2018-3-7 17:52 0
Editor 雪币： 26588 活跃值： (63252) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 3 楼 2018-3-15 14:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复