-
-
[求助]请教一下如何对付这种反-反汇编技巧
-
2021-8-8 12:19
3528
-
一个可疑 rootkit 样本
样本地址:https://wwa.lanzoui.com/iD3sAsd5rra
密码:infected
VT:
本人业余爱好者,试着自己用 IDA 分析,遇到了这种情况
显然栈顶(返回地址)被改了
IDA报了一大堆 sp analysis failed
曾经看到一些资料把这种技巧称为 return pointer abuse,但给出的例子都很简单,解决方法不能套用
试过把call patch成jmp loc_1400A0A97,没什么用,也可能是我patch的姿势不对
请问这种情况怎么处理?
由于我不会驱动调试,虚拟机也比较卡(电脑不行),解决方法最好是静态的
谢谢各位大佬!
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界