|
|
|---|---|
|
|
继续学习
|
|
|
 好像有的小题大作了吧???
|
|
|
对老兄的严谨作风十分欣赏。或许我们在调试这个病毒的方式上不同,造成了我的一点偏差。这里我予以感谢。
这里我的确要指出我的一个错误(错60%给自己一个台阶 ),就是提取程序本身401000大小7e0不是作为解码串,而是作为一个校验串送pcihdd.sys(防止修改或者hook),校验通过后,查表得出密钥,解码的是PCIHDD.SYS的资源(1000/1000引用了老兄的数据),回送缓冲区。的确,由于本人习惯动态调试,在softice被驱动挂掉后,只好简单的看了看pcihdd.sys的IDA文件后,也看到了解码的一段,就理所当然的认为是解码程序的,但漏掉了是解码自己资源的问题。这里向老兄给以敬意。 老兄还有一点疑问并没有完整回答,就是我前面所说的参数是如何得到的?? 以此谢意,学问是争出来的,这不?老兄其实没有看明白字符串送驱动到底是为什么,我明白是不能修改的,防止人篡改程序或者下CC断点。我看漏了驱动内的东西,两下一综合,分析不是更加明白。 还有就是我个人认为病毒分析一些关键东西可以适当隐藏,否则变种将漫天飞,这就是罪过了。 |
|
|
同意这个观点
|
|
|
|
