首页
社区
课程
招聘
[求助]请教一下如何对付这种反-反汇编技巧
发表于: 2021-8-8 12:19 4333

[求助]请教一下如何对付这种反-反汇编技巧

2021-8-8 12:19
4333

一个可疑 rootkit 样本
样本地址:https://wwa.lanzoui.com/iD3sAsd5rra
密码:infected
VT:

 

本人业余爱好者,试着自己用 IDA 分析,遇到了这种情况

 

显然栈顶(返回地址)被改了
IDA报了一大堆 sp analysis failed

 

曾经看到一些资料把这种技巧称为 return pointer abuse,但给出的例子都很简单,解决方法不能套用

 

试过把call patch成jmp loc_1400A0A97,没什么用,也可能是我patch的姿势不对

 

请问这种情况怎么处理?
由于我不会驱动调试,虚拟机也比较卡(电脑不行),解决方法最好是静态的

 

谢谢各位大佬!


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
2
VMP3
2021-8-8 19:19
1
雪    币: 95
活跃值: (164)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
hzqst VMP3
感谢大佬的回复

用DIE和exepeinfo没查出壳
所以VMP3是查不出来的吗?

单论这个技巧,有什么应对的方法吗?
还是说只能调试?
2021-8-8 19:38
0
雪    币: 75
活跃值: (1003)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
4
应该是改了vmp段名,先DUMP出来把然后静态解析把,但是VMP3不是你这种新手碰的。
2021-8-9 17:06
0
游客
登录 | 注册 方可回帖
返回
//