文件: ptyMD5: 3AF1D4A4C6B3FDA7D10CC8441889E204SHA1: 6B955475B687A8E00FE941FB1719A841FB44366ACRC32: 68DE3A45
该文件为一个32位的ELF文件,readelf后区段数量异常。可以确定这个壳是UPX但动态调了半天,没找到关键点求助。UPX的特征基本没了,ELF特征中,区段只有两个,e_shoff与e_shnum两个字段个数为0。运行后CPU占用高,无法结束,运行请在虚拟机环境下进行。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
pureGavin 你用UPX软件解压尝试一下是否能解开
Willarcap 你自己找个程序加个壳,对比样本,一般来说壳的关键位置可能被修改了,比如 UPX0 改成 xxx
upx -d 解压的。