文件: ptyMD5: 3AF1D4A4C6B3FDA7D10CC8441889E204SHA1: 6B955475B687A8E00FE941FB1719A841FB44366ACRC32: 68DE3A45
该文件为一个32位的ELF文件,readelf后区段数量异常。可以确定这个壳是UPX但动态调了半天,没找到关键点求助。UPX的特征基本没了,ELF特征中,区段只有两个,e_shoff与e_shnum两个字段个数为0。运行后CPU占用高,无法结束,运行请在虚拟机环境下进行。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
pureGavin 你用UPX软件解压尝试一下是否能解开
Willarcap 你自己找个程序加个壳,对比样本,一般来说壳的关键位置可能被修改了,比如 UPX0 改成 xxx
upx -d 解压的。