能力值:
![]()
(RANK:10 )
|
-
-
2 楼
狗壳...............
|
能力值:
( LV3,RANK:20 )
|
-
-
3 楼
这个软件没有狗,第一次运行释放了一个cdcd.sys的驱动程序(释放在system32下,而不是system32\dirvers下),被Norton认为是hacktool给隔离了。
好像前一段时间论坛上有个破文说过区段名称都变成什么了,但是我现在一点也记不起来那个文章的内容了,所以没办法搜索。
还请各位大侠指教
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
自己顶一下
|
能力值:
( LV7,RANK:100 )
|
-
-
5 楼
好像一个打包工具生成的文件区段会是0-7等等的编号.至于VC入口可能是伪装的吧.那个SYS可能是打包进去的文件之一.
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
像木马pcshare(远程控制) 唯一做到驱动级的马
|
能力值:
( LV9,RANK:420 )
|
-
-
7 楼
这样的壳有异常,你试试用最后一次异常来脱下看看
|
能力值:
( LV3,RANK:20 )
|
-
-
8 楼
多谢大家的指导!
昨天晚上又研究了一下,这个壳有几个比较有意思的地方
1、这个壳的解码程序竟然在0x7FFxxxxx的地址上,开始我还因为是系统的dll的空间,后来看到有花指令才明白是壳的地址空间。也不知道怎么能申请到这块内存。
2、我根据程序的注册提示窗口的类名,判断出被加壳的程序是用delphi写的,但是让人不解的是401000段中,不但包含了程序代码,还包含了IAT表。一般delphi的程序IAT的位置是在程序代码段后面一个段的。
3、这个壳有2次异常,不过第2次异常后壳还没有恢复IAT表,由于IAt表和代码段是同一个段,所以无法通过内存断点来跑到OEP。
4、用PEid的Plugins->Add Signature 1.03扫描说很象UPolyX V0.5,因为和UPolyx V0.5的特征字节串只有一个字节不匹配。
根据上面的第2、3条,我认为,是否这个壳把程序的代码段和后面的数据段合并了,从理论上来说这样应该是可以的,因为壳知道它合并后面的代码段,会去恢复那些地址上的IAT表的,不过好像从来没听说过有这种壳啊。
|
能力值:
( LV3,RANK:20 )
|
-
-
9 楼
这个壳的确合并了代码段和数据段,dump下来的文件,IDA无法分析。在OD中我找到了程序的VCL列表和VCL事件函数列表,并且在OD中都能看到这些函数,可是在IDA中,整个段中一句代码都没有, 
看来要根据delphi程序的结构来重新构造文件的PE头了,不过只听说过追加段,没有听说过可以插入段,不知道怎么下手,请高手指教
|
能力值:
( LV9,RANK:3410 )
|
-
-
10 楼
MoleBox ?
找个临时空间放下看看
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
多谢fly的指导。
我找了论坛上MoleBox的破文,对比了入口代码,最外部一层是MoleBox,里面应该还有一层,但我不确定是什么,好像是Asprotect。
另外我是对比的 wynney大侠的http://bbs.pediy.com/showthread.php?s=&threadid=27442&perpage=15&highlight=MoleBox&pagenumber=1 这篇文章,头部的代码都是一样的,但是按那个硬断esp的方法是无法断到的。不过我现在还不理解文章中说4次shift+F9为什么是4次,可能还要再琢磨琢磨吧。
|
|
|
|
