[求助]请教一下如何对付这种反-反汇编技巧-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]请教一下如何对付这种反-反汇编技巧

发表于: 2021-8-8 12:19 4401

[求助]请教一下如何对付这种反-反汇编技巧

面向大海abcd

2021-8-8 12:19

4401

一个可疑 rootkit 样本
样本地址：775K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6$3q4Q4x3X3g2D9j5h3&6*7L8%4g2A6i4K6u0W2j5$3!0E0i4K6u0r3K9f1b7K6M7@1q4K6k6o6g2J5M7X3p5`.
密码：infected
VT：

本人业余爱好者，试着自己用 IDA 分析，遇到了这种情况

显然栈顶（返回地址）被改了
IDA报了一大堆 sp analysis failed

曾经看到一些资料把这种技巧称为 return pointer abuse，但给出的例子都很简单，解决方法不能套用

试过把call patch成jmp loc_1400A0A97，没什么用，也可能是我patch的姿势不对

请问这种情况怎么处理？
由于我不会驱动调试，虚拟机也比较卡（电脑不行），解决方法最好是静态的

谢谢各位大佬！

[注意]看雪招聘，专注安全领域的专业人才平台！

#病毒木马 #软件保护

收藏・1

免费・0

支持

最新回复 (3)
hzqst 雪币： 12862 活跃值： (9282) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 588 关注私信	hzqst 3 2 楼 VMP3 2021-8-8 19:19 1
面向大海abcd 雪币： 95 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	面向大海abcd 3 楼 hzqst VMP3 感谢大佬的回复用DIE和exepeinfo没查出壳所以VMP3是查不出来的吗？单论这个技巧，有什么应对的方法吗？还是说只能调试？ 2021-8-8 19:38 0
chenshipei 雪币： 75 活跃值： (1078) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 28 粉丝 2 关注私信	chenshipei 4 楼应该是改了vmp段名，先DUMP出来把然后静态解析把，但是VMP3不是你这种新手碰的。 2021-8-9 17:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

面向大海abcd

发帖

回帖

RANK

关注

私信

他的文章

[求助]请教一下如何对付这种反-反汇编技巧 4402

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
hzqst 雪币： 12862 活跃值： (9282) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 588 关注私信	hzqst 3 2 楼 VMP3 2021-8-8 19:19 1
面向大海abcd 雪币： 95 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	面向大海abcd 3 楼 hzqst VMP3 感谢大佬的回复用DIE和exepeinfo没查出壳所以VMP3是查不出来的吗？单论这个技巧，有什么应对的方法吗？还是说只能调试？ 2021-8-8 19:38 0
chenshipei 雪币： 75 活跃值： (1078) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 28 粉丝 2 关注私信	chenshipei 4 楼应该是改了vmp段名，先DUMP出来把然后静态解析把，但是VMP3不是你这种新手碰的。 2021-8-9 17:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复