一个可疑 rootkit 样本样本地址:https://wwa.lanzoui.com/iD3sAsd5rra密码:infectedVT:
本人业余爱好者,试着自己用 IDA 分析,遇到了这种情况
显然栈顶(返回地址)被改了IDA报了一大堆 sp analysis failed
曾经看到一些资料把这种技巧称为 return pointer abuse,但给出的例子都很简单,解决方法不能套用
试过把call patch成jmp loc_1400A0A97,没什么用,也可能是我patch的姿势不对
请问这种情况怎么处理?由于我不会驱动调试,虚拟机也比较卡(电脑不行),解决方法最好是静态的
谢谢各位大佬!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
hzqst VMP3