-
-
[原创]居然有人这样加壳
-
发表于:
2006-3-24 20:12
5823
-
xxx查询大全8.0
运行herbs1.exe,用Process Explorer察看,发现这么一个文件:
c:\recycled\?’怜?\??\y703907.exe
路径很怪,拷贝下来也进不去。
这肯定是程序运行时生成的。那么:
用OD, BP CreateFileA。
当堆栈出现这样时,
0012F5C8 00407147 /CALL 到 CreateFileA 来自 herbs1.00407142
0012F5CC 00EB642C |FileName = "C:\Recycled\?’怜?\??\y703907.EXE"
0012F5D0 C0000000 |Access = GENERIC_READ|GENERIC_WRITE
0012F5D4 00000000 |ShareMode = 0
0012F5D8 00000000 |pSecurity = NULL
0012F5DC 00000003 |Mode = OPEN_EXISTING
0012F5E0 00000080 |Attributes = NORMAL
0012F5E4 00000000 \hTemplateFile = NULL
在FileName那一行按右键,"进数据窗口"
00EB642C 43 3A 5C 52 65 63 79 63 6C 65 64 5C FF A1 A1 AF C:\Recycled\??
00EB643C C1 AF C6 FF 5C 7F AF C1 AF C6 5C 79 37 30 33 39 怜?\??\y7039
00EB644C 30 37 2E 45 58 45 07.EXE
改成:
00EB642C 43 3A 5C 79 37 30 33 39 30 37 2E 45 58 45 00 00 C:\y703907.EXE..
拷贝下"43 3A 5C 79 37 30 33 39 30 37 2E 45 58 45 00 00", 凡是堆栈出现这样时,
一律"二进制粘贴",直到运行起来。
然后,这个文件就在C:\了。
PEID察看:
Micorsoft Visual C++ 7.0 Method2 [Overlay]
size: 2239K
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课