首页
社区
课程
招聘
脱壳请帮忙!我搞了2天了
发表于: 2004-5-7 19:53 6633

脱壳请帮忙!我搞了2天了

2004-5-7 19:53
6633
刚开始学习手动脱壳,遇到个难搞定的东西
这个程序是用UPX-Scrambler RC1.x -> ©OnT®oL 是用vb写的
先说名这个程序是qq尾巴病毒,先给出清除方法:
先终止进程,就你启动运行的这个名字,再用我上传文件中的ie修复精灵 删除启动项目,有2个 并且找到位置删除对应的文件 并且在系统盘下和system32下删除文件restory.exe sysfiler.exe 就能完全清除了

我用od脱壳,好象也成功了,附件中的那个unpackme.exe是原文件,ok_.exe是我脱壳后的,奇怪的是ok_.exe不能正常运行,用od看脱壳后的程序,我找不出什么问题来了,请哪位大哥帮帮忙 先谢了

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 7
支持
分享
最新回复 (7)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
文件大小校验:

0040593E     FF15 80114000       call dword ptr ds:[<&MSVBVM60.#578>] ; MSVBVM60.rtcFileLen//取大小
00405944     8B4D 08             mov ecx,dword ptr ss:[ebp+8]
00405947     3B01                cmp eax,dword ptr ds:[ecx]//比较
00405949     EB 06               je short 00405951//改为jmp 00405951 即可
0040594B     FF15 24104000       call dword ptr ds:[<&MSVBVM60.__vbaEnd>]; MSVBVM60.__vbaEnd//OVER
00405951     68 A2594000         push 004059A2
00405956     EB 40               jmp short 00405998
2004-5-8 00:33
0
雪    币: 224
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢fly兄的帮忙 谢谢!
2004-5-9 12:28
0
雪    币: 224
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
fly兄,能否告诉我你是怎么找到这个地方的?还是vb程序写的脱壳后就是这样的?恳请fly兄指点
再次谢谢!
ps 能否加个好友? 我qq是 123594841
2004-5-9 12:37
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
没有什么不变的东西
跟踪、判断
2004-5-9 12:57
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
6
fly总是另人佩服啊!
2004-5-9 15:55
0
雪    币: 224
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
最初由 fly 发布
没有什么不变的东西
跟踪、判断

thank you very much!
2004-5-9 21:07
0
雪    币: 224
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
看到还有其他朋友下这个去,所以补充特底清除病毒痕迹的方法
除上面的方法外,还需要删除注册表的
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\windows nt\currentversion\windows\

run

load 这2个键值
2004-5-9 21:10
0
游客
登录 | 注册 方可回帖
返回
//