首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
0
0
[求助]请问下这个病毒这个函数是想做什么?分析经验太少了
发表于: 2020-2-29 18:24
2709
[求助]请问下这个病毒这个函数是想做什么?分析经验太少了
山森
2020-2-29 18:24
2709
这是病毒第一个执行的函数,返回值没被接收的。
我觉得关键点是那个安全cookie的值,以及dword_4855DC的地址值的作用,在初次跑病毒时发现病毒有关闭再启动的行为,而且是多次的。
我很怀疑,这个函数是不是跟病毒的多次启动有关?
我现在就可以对函数命名吗??还是说只知道这点信息不足以命名它,必须继续硬着头皮往下看伪代码...
现在自己对病毒分析还没什么头绪,还不知道详细分析时什么该深入研究,什么该稍微放放,希望有大佬可以指点一下。。
自学要死了。。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
hzqst
雪 币:
12857
活跃值:
(9172)
能力值:
( LV9,RANK:280 )
在线值:
发帖
47
回帖
1794
粉丝
570
关注
私信
hzqst
3
2
楼
crt自带的函数,GS cookie初始化
最后于
2020-2-29 20:20 被hzqst编辑 ,原因:
2020-2-29 20:19
0
山森
雪 币:
228
活跃值:
(11)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
20
粉丝
0
关注
私信
山森
3
楼
hzqst
crt自带的函数,GS cookie初始化
嗯?crt自带函数是不是加载vc32rtf的标签就能识别?可是我已经加载了但并不识别啊,这真是自带函数?刚才我od看了个随意编的程序,它的cookie初始化完全不长这样耶....
最后于
2020-3-2 12:28 被山森编辑 ,原因:
2020-3-2 12:17
0
boursonjane
雪 币:
2401
活跃值:
(3179)
能力值:
( LV3,RANK:20 )
在线值:
发帖
6
回帖
185
粉丝
13
关注
私信
boursonjane
4
楼
gs_support.c
2020-3-2 13:30
0
山森
雪 币:
228
活跃值:
(11)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
20
粉丝
0
关注
私信
山森
5
楼
眼睛是会骗人的..这确实是初始化cookie,但是版本不同,我认识的是那种会把部分操作隐藏在下一层函数中的,执行逻辑也有细微差别,搞得没认出来,丢人了。。
2020-3-2 14:28
0
路远_人尚在
雪 币:
114
能力值:
( LV1,RANK:0 )
在线值:
发帖
0
回帖
26
粉丝
1
关注
私信
路远_人尚在
6
楼
这个是初始化吧?没什么具体的作用,跳过就好了
2020-3-4 17:20
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
山森
6
发帖
20
回帖
10
RANK
关注
私信
他的文章
[求助]求教该如何让od可以识别到C语言的库函数?我查了下好像很多人的od都能直接识别,我是缺了什么东西吗?
2452
[求助]各位病毒分析的大大们在od遇到未知的函数时会怎么快速分析判断它?
2596
[求助]搞不懂样本这个循环里重复Get的这些操作是想做什么..
2584
[求助]请问下这个病毒这个函数是想做什么?分析经验太少了
2710
[求助]病毒分析萌新求助,如何在已经中毒的电脑中安全提取出样本?
2672
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部