[求助]请教一下如何对付这种反-反汇编技巧-软件逆向-看雪-安全社区|安全招聘|kanxue.com

面向大海abcd

2021-8-8 12:19

3528

一个可疑 rootkit 样本
样本地址：https://wwa.lanzoui.com/iD3sAsd5rra
密码：infected
VT：

本人业余爱好者，试着自己用 IDA 分析，遇到了这种情况

显然栈顶（返回地址）被改了
IDA报了一大堆 sp analysis failed

曾经看到一些资料把这种技巧称为 return pointer abuse，但给出的例子都很简单，解决方法不能套用

试过把call patch成jmp loc_1400A0A97，没什么用，也可能是我patch的姿势不对

请问这种情况怎么处理？
由于我不会驱动调试，虚拟机也比较卡（电脑不行），解决方法最好是静态的

谢谢各位大佬！

收藏・1

点赞・0

打赏

最新回复 (3)
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-8-8 19:19 2 楼 1 VMP3
面向大海abcd 雪币： 95 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 1 粉丝 0 关注私信	面向大海abcd 2021-8-8 19:38 3 楼 0 hzqst VMP3 感谢大佬的回复用DIE和exepeinfo没查出壳所以VMP3是查不出来的吗？单论这个技巧，有什么应对的方法吗？还是说只能调试？
chenshipei 雪币： 85 活跃值： (733) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	chenshipei 2021-8-9 17:06 4 楼 0 应该是改了vmp段名，先DUMP出来把然后静态解析把，但是VMP3不是你这种新手碰的。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

面向大海abcd

发帖

回帖

RANK

关注

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-8-8 19:19 2 楼 1 VMP3
面向大海abcd 雪币： 95 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 1 粉丝 0 关注私信	面向大海abcd 2021-8-8 19:38 3 楼 0 hzqst VMP3 感谢大佬的回复用DIE和exepeinfo没查出壳所以VMP3是查不出来的吗？单论这个技巧，有什么应对的方法吗？还是说只能调试？
chenshipei 雪币： 85 活跃值： (733) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	chenshipei 2021-8-9 17:06 4 楼 0 应该是改了vmp段名，先DUMP出来把然后静态解析把，但是VMP3不是你这种新手碰的。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复