一个可疑 rootkit 样本
样本地址:https://wwa.lanzoui.com/iD3sAsd5rra
密码:infected
VT:
本人业余爱好者,试着自己用 IDA 分析,遇到了这种情况
显然栈顶(返回地址)被改了
IDA报了一大堆 sp analysis failed
曾经看到一些资料把这种技巧称为 return pointer abuse,但给出的例子都很简单,解决方法不能套用
试过把call patch成jmp loc_1400A0A97,没什么用,也可能是我patch的姿势不对
请问这种情况怎么处理?
由于我不会驱动调试,虚拟机也比较卡(电脑不行),解决方法最好是静态的
谢谢各位大佬!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)