[求助]紧急求助:未知病毒加的未知壳!-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]紧急求助:未知病毒加的未知壳!

发表于: 2006-11-7 09:23 5981

[求助]紧急求助:未知病毒加的未知壳!

Pucua

2006-11-7 09:23

5981

开头代码如下:007A23BB tdll.<Mo>  51             push ecx
007A23BC          59             pop ecx
007A23BD          57             push edi
007A23BE          57             push edi
007A23BF          83C4 04       add esp,4
007A23C2          893424          mov dword ptr ss:[esp],esi
007A23C5          53             push ebx
007A23C6          BB 4078020C    mov ebx,0C027840
007A23CB          81C3 6EB9360D add ebx,0D36B96E
007A23D1          2BFB          sub edi,ebx
007A23D3          5B             pop ebx
007A23D4          57             push edi
007A23D5          BF 1030B824    mov edi,24B83010
007A23DA          81EF 62FE7E0B sub edi,0B7EFE62
007A23E0          013C24          add dword ptr ss:[esp],edi
007A23E3          5F             pop edi
007A23E4          897C24 FC       mov dword ptr ss:[esp-4],edi
007A23E8          81EF 630B7974 sub edi,74790B63
007A23EE          81C7 630B7974 add edi,74790B63
007A23F4          897C24 FC       mov dword ptr ss:[esp-4],edi
007A23F8          57             push edi
007A23F9          54             push esp
007A23FA          83C4 04       add esp,4
007A23FD          8B7C24 FC       mov edi,dword ptr ss:[esp-4]
007A2401          8BFC          mov edi,esp
007A2403          8B3F          mov edi,dword ptr ds:[edi]
007A2405          83C4 04       add esp,4
007A2408          57             push edi
007A2409          56             push esi
007A240A          5E             pop esi
007A240B          53             push ebx
007A240C          53             push ebx
007A240D          83C4 04       add esp,4
007A2410          890424          mov dword ptr ss:[esp],eax
007A2413          57             push edi
007A2414          03F9          add edi,ecx
007A2416          030424          add eax,dword ptr ss:[esp]
007A2419          5F             pop edi
007A241A          52             push edx
007A241B          83C4 04       add esp,4
007A241E          58             pop eax
007A241F          56             push esi
007A2420          52             push edx
007A2421          5A             pop edx
007A2422          81C7 B634F054 add edi,54F034B6
007A2428          54             push esp
007A2429          81EF B634F054 sub edi,54F034B6
007A242F          893C24          mov dword ptr ss:[esp],edi
007A2432          83C4 04       add esp,4
007A2435          57             push edi
007A2436          53             push ebx
007A2437          5B             pop ebx
007A2438          57             push edi
007A2439          56             push esi
007A243A          5E             pop esi
007A243B          2B3424          sub esi,dword ptr ss:[esp]
007A243E          83C4 08       add esp,8
007A2441          54             push esp
007A2442          52             push edx
007A2443          83C4 04       add esp,4
007A2446          5E             pop esi
007A2447          8B3424          mov esi,dword ptr ss:[esp]
007A244A          83C4 04       add esp,4
007A244D          E8 66000000    call tdll.007A24B8
007A2452          289D A5EA8C09 sub byte ptr ss:[ebp+98CEAA5],bl
007A2458          9E             sahf
007A2459          877481 49       xchg dword ptr ds:[ecx+eax*4+49],esi
007A245D          F0:46          lock inc esi                         ; 不允许锁定前缀
007A245F          2B70 9E       sub esi,dword ptr ds:[eax-62]
007A2462          181A          sbb byte ptr ds:[edx],bl
007A2464          A1 45CB0A80    mov eax,dword ptr ds:[800ACB45]
007A2469          11A0 EDF0A15D adc dword ptr ds:[eax+5DA1F0ED],esp
007A246F          D4 FE          aam 0FE
007A2471          2F             das
007A2472          B6 53          mov dh,53
007A2474          396C16 4D       cmp dword ptr ds:[esi+edx+4D],ebp
007A2478          CA 088E       retf 8E08

PEID=Nothing found [Overlay] *
区段名3个是:nt541 /nt542 /nt542
该病毒会释放很多病毒体,本来不知道中了什么毒,发现QQ非发被关闭,一个病毒体Sysrema.exe出错,发现不对,马上用冰R查发现是插入IE,注册表被添加启动项目有3处,主要如下:

  Tray       C:\WINNT.1\command\rundll32.exe
  xy          C:\WINNT.1\Download\svhost32.exe
  NiceMs    C:\Program Files\Common Files\Microsoft Shared\MSINFO\Mymsok.exe
Mymsok.exe的壳区段名:d3rd1 /d3rd2 /d3rd3
有否见过以上的陌生壳

为了便于大家研究,我传上一个DLL文件,现在没有杀毒能查到他,
DLL大家放心好了,不会运行的,

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

xydll.rar （28.82kb，2次下载）

收藏・0

免费・0

支持

最新回复 (28) 1 2 ▶
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 anti 007 强烈BS做这个壳的人，造成木马病毒的泛滥这是跑OEP的脚本 //nspack && anti 007 通用脚本 //code by skylly msg "忽略所有异常" var VirtualProtect var VirtualFree gpa "VirtualFree","kernel32.dll" cmp $RESULT,0 je err mov VirtualFree,$RESULT gpa "VirtualProtect","kernel32.dll" cmp $RESULT,0 je err mov VirtualProtect,$RESULT bp VirtualFree esto esto bc VirtualFree var temp mov temp,[esp] bp temp esto bc temp //到用户代码 find eip,#9DE9# //popfd;jmp cmp $RESULT,0 je err add $RESULT,1 go $RESULT sto OEP: cmt eip,"OEP!" msg "OEP or Next Shell" ret err: msg "Error" ret 2006-11-7 09:36 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 3 楼谢谢我去跑一下看 2006-11-7 10:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 4 楼还以为是真的病毒。。。能看看多态引擎的汇编代码，这个不就加了壳的木马嘛。。 2006-11-7 10:56 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 5 楼有几个能用脚本找到OEP脱掉但还有几个一运行脚本,程序就终止了... 2006-11-7 10:56 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 6 楼加的不同的壳吧，PEID没有查出是什么壳吗？不见得现在放木马的人会自己写壳总觉得这些不赚钱的东西，高手懒得做，新人不会做 2006-11-7 10:58 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 7 楼都一样的壳有的能脱有的不能脱不知道是什么问题 2006-11-7 11:08 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼虽然不是写壳的人放木马，但是是写壳的人造成木马的横行，所以还是BS写anti 007的人把不能脱的传上来，我看看 2006-11-7 12:27 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 9 楼传上附件(供分析用,未专业分析人士请勿下本附件). 谢谢合作跟了一下发现是虚拟内存没申请到,后就退出了上传的附件： xx.rar （153.88kb，2次下载） 2006-11-7 13:57 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 10 楼 svchost.exe 是个木马下载器 svhost32.exe 是个传奇之类的木马 system16.sys　是QQ木马 2006-11-7 14:07 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 11 楼 loveboom 高手啊,怎么一眼就能分辨的出来.... 盗Q,我分析下, 2006-11-7 14:12 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 12 楼写壳的一般是为了软件保护面向的是共享软件作者有人买水果刀去杀人那你能怪卖水果刀的吗？ 2006-11-7 15:36 0
xzchina 雪币： 615 活跃值： (1127) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 13 楼最初由笨笨雄* 发布* 写壳的一般是为了软件保护面向的是共享软件作者有人买水果刀去杀人 ........ 看完笨笨熊的话,我突然想到了灰鸽子. 2006-11-7 15:40 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 14 楼楼上的不知所云! 2006-11-7 15:40 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 15 楼灰鸽子是远程管理软件，方便管理服务器之类的但是却被人改成木马如果你有逆向分析过灰鸽子的程序，你会发现程序本来在客户端安装完之后提示安装成功的。其实要搞木马免杀，可以不用壳的，只要你懂汇编，用CCL定位特征码，把特征码位置的代码替换成其他等效代码就OK了至于对付启发式扫描，你可以写个LOADER，利用EPO技术，将木马拆分成若干模块感染目标文件。不过这需要你有编程功底，并且了解EPO的实现方法。我只是说我知道的一点相关信息，我本人是没有任何这方面的开发经验，如果你想了解多点关于这方面的信息，可以去NE365或者CVC，这两个论坛都是专门讨论恶意代码的技术的。也有杀毒软件使用的技术，不过只有原理方面的，并没有代码实例 2006-11-7 16:14 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 16 楼用脚本可以秒掉写anti 007的人的本意不是为木马免疫吗？ 2006-11-7 16:19 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 17 楼 [QUOTE]最初由笨笨雄* 发布* 灰鸽子是远程管理软件，方便管理服务器之类的但是却被人改成木马如果你有逆向分析过灰鸽子的程序，你会发现程序本来在客户端安装完之后提示安装成功的。 ........ [/QUOTE ] 灰鸽子是远程管理软件“美其名约”吧作者写软件的时候早就考虑到自己以后该软件在市场上的定位了不然他为什么越写约来尽了，管理软件，似乎不在这个范畴里面的吧竟注入到IE，进程隐藏，管理软件有必要这么做吗还开些附加功能等等，，，，开端口等等，已经大大超出一般木马的范畴了，还有，你可以找找看文章，鸽子作者是受冰河程序的影响才去开发的。。冰河十足是个大木马啊 2006-11-7 16:22 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 18 楼最初由 loveboom* 发布* svchost.exe 是个木马下载器 svhost32.exe 是个传奇之类的木马 system16.sys　是QQ木马斑竹，这个壳改怎么脱啊，请教了 2006-11-7 16:23 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 19 楼最初由 skylly* 发布* 虽然不是写壳的人放木马，但是是写壳的人造成木马的横行，所以还是BS写anti 007的人把不能脱的传上来，我看看这不都是钱惹的祸吗.作为一个压缩为主的壳,在前有UPX,后有UPACK的情况下想卖钱也只有这一条路了.其实做壳是没有钱挣的,只会遭N多人合力暴扁,国产品牌幻影,ACP,SDP......都在持续的打压下消失了，下一个会是谁哪? 2006-11-7 16:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼最初由 q3 watcher* 发布* 这不都是钱惹的祸吗.作为一个压缩为主的壳,在前有UPX,后有UPACK的情况下想卖钱也只有这一条路了.其实做壳是没有钱挣的,只会遭N多人合力暴扁,国产品牌幻影,ACP,SDP......都在持续的打压下消失了，下一个会是谁哪? 世间的事沾惹利益二字就会有很多麻烦另外：DBPE/ACPr/SDP等壳低调或放弃并不是因为被脱壳/破解的缘故吧 2006-11-7 17:00 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼最初由 fly* 发布* 世间的事沾惹利益二字就会有很多麻烦另外：DBPE/ACPr/SDP等壳低调或放弃并不是因为被脱壳/破解的缘故吧如果卖的好是不会低调或放弃的，也许这些不是必然原因,但起码是主要原因.其中脱壳是次要原因,而破解是主要原因.如果一个壳每次升级以后都瞬间被秒掉,一定不会有什么好的销售成绩.一是真正想买的对其强度不放心；二是反复的遭到破解会让人形成一个思维定式，即使不用买也会有人破了放出来；三是一个壳在面对破解匆忙升级中常会没有实质上的功能提升，并且留下很多可以钻的空子，直接导致新版本很容易被扁，而且除了版本号外没有啥吸引力，如果这样的情况多了就会把程序搞垃圾了． 2006-11-7 17:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼最初由 q3 watcher* 发布* 如果卖的好是不会低调或放弃的，也许这些不是必然原因,但起码是主要原因.其中脱壳是次要原因,而破解是主要原因.如果一个壳每次升级以后都瞬间被秒掉,一定不会有什么好的销售成绩.一是真正想买的对其强度不放心；二是反复的遭到破解会让人形成一个思维定式，即使不用买也会有人破了放出来；三是一个壳在面对破解匆忙升级中常会没有实质上的功能提升，并且留下很多可以钻的空子，直接导致新版本很容易被扁，而且除了版本号外没有啥吸引力，如果这样的情况多了就会把程序搞垃圾了．嗯，不可否认脱壳/破解对壳生存的影响保护壳的生命意义在于保护，若自身都被别人“轻易”攻破，那么就要好好思考新的保护方案了 2006-11-7 17:39 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 23 楼最初由 skylly* 发布* 用脚本可以秒掉写anti 007的人的本意不是为木马免疫吗？你给的脚本秒不掉啊？你测试下我给你附件我运行你的脚本后程序直接就终止了你可以看看 2006-11-7 18:43 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 24 楼在我这里都可以秒掉，壳有没有anti我就不知道了,没去细跟你忽略所有异常了没有？ 2006-11-7 18:45 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 25 楼难道的我OD设置有问题有一个能直接到OEP的但大部分都不能脱啊我设置突略全部异常了啊。还请教啊 2006-11-7 18:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Pucua

发帖

121

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 anti 007 强烈BS做这个壳的人，造成木马病毒的泛滥这是跑OEP的脚本 //nspack && anti 007 通用脚本 //code by skylly msg "忽略所有异常" var VirtualProtect var VirtualFree gpa "VirtualFree","kernel32.dll" cmp $RESULT,0 je err mov VirtualFree,$RESULT gpa "VirtualProtect","kernel32.dll" cmp $RESULT,0 je err mov VirtualProtect,$RESULT bp VirtualFree esto esto bc VirtualFree var temp mov temp,[esp] bp temp esto bc temp //到用户代码 find eip,#9DE9# //popfd;jmp cmp $RESULT,0 je err add $RESULT,1 go $RESULT sto OEP: cmt eip,"OEP!" msg "OEP or Next Shell" ret err: msg "Error" ret 2006-11-7 09:36 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 3 楼谢谢我去跑一下看 2006-11-7 10:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 4 楼还以为是真的病毒。。。能看看多态引擎的汇编代码，这个不就加了壳的木马嘛。。 2006-11-7 10:56 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 5 楼有几个能用脚本找到OEP脱掉但还有几个一运行脚本,程序就终止了... 2006-11-7 10:56 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 6 楼加的不同的壳吧，PEID没有查出是什么壳吗？不见得现在放木马的人会自己写壳总觉得这些不赚钱的东西，高手懒得做，新人不会做 2006-11-7 10:58 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 7 楼都一样的壳有的能脱有的不能脱不知道是什么问题 2006-11-7 11:08 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼虽然不是写壳的人放木马，但是是写壳的人造成木马的横行，所以还是BS写anti 007的人把不能脱的传上来，我看看 2006-11-7 12:27 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 9 楼传上附件(供分析用,未专业分析人士请勿下本附件). 谢谢合作跟了一下发现是虚拟内存没申请到,后就退出了上传的附件： xx.rar （153.88kb，2次下载） 2006-11-7 13:57 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 10 楼 svchost.exe 是个木马下载器 svhost32.exe 是个传奇之类的木马 system16.sys　是QQ木马 2006-11-7 14:07 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 11 楼 loveboom 高手啊,怎么一眼就能分辨的出来.... 盗Q,我分析下, 2006-11-7 14:12 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 12 楼写壳的一般是为了软件保护面向的是共享软件作者有人买水果刀去杀人那你能怪卖水果刀的吗？ 2006-11-7 15:36 0
xzchina 雪币： 615 活跃值： (1127) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 13 楼最初由笨笨雄* 发布* 写壳的一般是为了软件保护面向的是共享软件作者有人买水果刀去杀人 ........ 看完笨笨熊的话,我突然想到了灰鸽子. 2006-11-7 15:40 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 14 楼楼上的不知所云! 2006-11-7 15:40 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 15 楼灰鸽子是远程管理软件，方便管理服务器之类的但是却被人改成木马如果你有逆向分析过灰鸽子的程序，你会发现程序本来在客户端安装完之后提示安装成功的。其实要搞木马免杀，可以不用壳的，只要你懂汇编，用CCL定位特征码，把特征码位置的代码替换成其他等效代码就OK了至于对付启发式扫描，你可以写个LOADER，利用EPO技术，将木马拆分成若干模块感染目标文件。不过这需要你有编程功底，并且了解EPO的实现方法。我只是说我知道的一点相关信息，我本人是没有任何这方面的开发经验，如果你想了解多点关于这方面的信息，可以去NE365或者CVC，这两个论坛都是专门讨论恶意代码的技术的。也有杀毒软件使用的技术，不过只有原理方面的，并没有代码实例 2006-11-7 16:14 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 16 楼用脚本可以秒掉写anti 007的人的本意不是为木马免疫吗？ 2006-11-7 16:19 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 17 楼 [QUOTE]最初由笨笨雄* 发布* 灰鸽子是远程管理软件，方便管理服务器之类的但是却被人改成木马如果你有逆向分析过灰鸽子的程序，你会发现程序本来在客户端安装完之后提示安装成功的。 ........ [/QUOTE ] 灰鸽子是远程管理软件“美其名约”吧作者写软件的时候早就考虑到自己以后该软件在市场上的定位了不然他为什么越写约来尽了，管理软件，似乎不在这个范畴里面的吧竟注入到IE，进程隐藏，管理软件有必要这么做吗还开些附加功能等等，，，，开端口等等，已经大大超出一般木马的范畴了，还有，你可以找找看文章，鸽子作者是受冰河程序的影响才去开发的。。冰河十足是个大木马啊 2006-11-7 16:22 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 18 楼最初由 loveboom* 发布* svchost.exe 是个木马下载器 svhost32.exe 是个传奇之类的木马 system16.sys　是QQ木马斑竹，这个壳改怎么脱啊，请教了 2006-11-7 16:23 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 19 楼最初由 skylly* 发布* 虽然不是写壳的人放木马，但是是写壳的人造成木马的横行，所以还是BS写anti 007的人把不能脱的传上来，我看看这不都是钱惹的祸吗.作为一个压缩为主的壳,在前有UPX,后有UPACK的情况下想卖钱也只有这一条路了.其实做壳是没有钱挣的,只会遭N多人合力暴扁,国产品牌幻影,ACP,SDP......都在持续的打压下消失了，下一个会是谁哪? 2006-11-7 16:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼最初由 q3 watcher* 发布* 这不都是钱惹的祸吗.作为一个压缩为主的壳,在前有UPX,后有UPACK的情况下想卖钱也只有这一条路了.其实做壳是没有钱挣的,只会遭N多人合力暴扁,国产品牌幻影,ACP,SDP......都在持续的打压下消失了，下一个会是谁哪? 世间的事沾惹利益二字就会有很多麻烦另外：DBPE/ACPr/SDP等壳低调或放弃并不是因为被脱壳/破解的缘故吧 2006-11-7 17:00 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼最初由 fly* 发布* 世间的事沾惹利益二字就会有很多麻烦另外：DBPE/ACPr/SDP等壳低调或放弃并不是因为被脱壳/破解的缘故吧如果卖的好是不会低调或放弃的，也许这些不是必然原因,但起码是主要原因.其中脱壳是次要原因,而破解是主要原因.如果一个壳每次升级以后都瞬间被秒掉,一定不会有什么好的销售成绩.一是真正想买的对其强度不放心；二是反复的遭到破解会让人形成一个思维定式，即使不用买也会有人破了放出来；三是一个壳在面对破解匆忙升级中常会没有实质上的功能提升，并且留下很多可以钻的空子，直接导致新版本很容易被扁，而且除了版本号外没有啥吸引力，如果这样的情况多了就会把程序搞垃圾了． 2006-11-7 17:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼最初由 q3 watcher* 发布* 如果卖的好是不会低调或放弃的，也许这些不是必然原因,但起码是主要原因.其中脱壳是次要原因,而破解是主要原因.如果一个壳每次升级以后都瞬间被秒掉,一定不会有什么好的销售成绩.一是真正想买的对其强度不放心；二是反复的遭到破解会让人形成一个思维定式，即使不用买也会有人破了放出来；三是一个壳在面对破解匆忙升级中常会没有实质上的功能提升，并且留下很多可以钻的空子，直接导致新版本很容易被扁，而且除了版本号外没有啥吸引力，如果这样的情况多了就会把程序搞垃圾了．嗯，不可否认脱壳/破解对壳生存的影响保护壳的生命意义在于保护，若自身都被别人“轻易”攻破，那么就要好好思考新的保护方案了 2006-11-7 17:39 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 23 楼最初由 skylly* 发布* 用脚本可以秒掉写anti 007的人的本意不是为木马免疫吗？你给的脚本秒不掉啊？你测试下我给你附件我运行你的脚本后程序直接就终止了你可以看看 2006-11-7 18:43 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 24 楼在我这里都可以秒掉，壳有没有anti我就不知道了,没去细跟你忽略所有异常了没有？ 2006-11-7 18:45 0
Pucua 雪币： 213 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 121 粉丝 0 关注私信	Pucua 25 楼难道的我OD设置有问题有一个能直接到OEP的但大部分都不能脱啊我设置突略全部异常了啊。还请教啊 2006-11-7 18:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复