能力值:
( LV2,RANK:10 )
|
-
-
2 楼
这个应该不是病毒,反汇编并脱壳后只有几行,如下:
00401000 > $ 6A 00 PUSH 0 ; /Title = NULL
00401002 . 68 00304000 PUSH dumped_.00403000 ; |Class = "ALPHA"
00401007 . E8 0E000000 CALL <JMP.&user32.FindWindowA> ; \FindWindowA
0040100C . 6A 00 PUSH 0 ; /ExitCode = 0
0040100E . E8 01000000 CALL <JMP.&kernel32.ExitProcess> ; \ExitProcess
00401013 . CC INT3
00401014 $- FF25 00204000 JMP DWORD PTR DS:[<&kernel32.ExitProcess>
0040101A $- FF25 08204000 JMP DWORD PTR DS:[<&user32.FindWindowA>]
只有两个函数调用,一个是FindWindowA,另一个是ExitProcess。
虽然data段里有些东西看不懂,不过似乎并没有访问过那些东西。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
如何看它是否加壳的,我用PEiD没有查出来。不好意思,我菜鸟一名
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
其实我也不知道有壳,载入的时候OD也没提示,只是单步的时候看到了pushad,感觉这是伪装了的壳,就顺手脱了。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
你运行起来以后在OD命令窗口打DD 40c516
IAT是解码出来的,不止那2个
感觉代码都是变形的~
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
注册日期: Aug 2004
帖子: 5
精华: 0
好早好早..
|
能力值:
( LV5,RANK:60 )
|
-
-
8 楼
由于ntdll.ZwCreateFile在虚拟机中被Hook,而该病毒会对这个函数做Hook判断,因此此病毒并不会感染虚拟机吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
在虚拟机跑至少不会感染真机……
注册时间早也没用……很少时间学这个,只能搞点简单的。
|
|
|