[求助]这种特殊的合并器,你见过吗?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼 MoleBox现在的版本也不释放临时文件。大体原理是，壳代码自己重写了LoadLibrary，同时HOOK了CreateFile等文件操作。对DLL文件，壳直接在内存中完成重定位，同时把EXE的IAT指向内存中的DLL函数。修复时，如果能识别到壳自己的LoadLibrary，跳过其对重定位处理，可以将DLL直接DUMP出来，可能还要修复原始的重定位表。对于其它文件，壳的CreateFile、SetFilePointer等函数的钩子会处理，具体过程很复杂，修复时，我用过的办法是对比未捆绑的程序与合并后的程序，找到程序ReadFile的代码位置，设置断点，然后从buffer中dump出文件。 2009-3-20 10:22 0
yjdly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 88 粉丝 0 关注私信	yjdly 3 楼你认为他那个内存方式合并的程序,有办法从内存中提取出合并中的以前的原程序出来吗? 2009-3-20 11:55 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 4 楼办法是有，但是难。我曾经也是在别人的工作基础上，对某molebox做了一下简单的分析。要没有其它人的基础，我自己还分析不了的。 2009-3-20 12:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼 MoleBox现在的版本也不释放临时文件。大体原理是，壳代码自己重写了LoadLibrary，同时HOOK了CreateFile等文件操作。对DLL文件，壳直接在内存中完成重定位，同时把EXE的IAT指向内存中的DLL函数。修复时，如果能识别到壳自己的LoadLibrary，跳过其对重定位处理，可以将DLL直接DUMP出来，可能还要修复原始的重定位表。对于其它文件，壳的CreateFile、SetFilePointer等函数的钩子会处理，具体过程很复杂，修复时，我用过的办法是对比未捆绑的程序与合并后的程序，找到程序ReadFile的代码位置，设置断点，然后从buffer中dump出文件。 2009-3-20 10:22 0
yjdly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 88 粉丝 0 关注私信	yjdly 3 楼你认为他那个内存方式合并的程序,有办法从内存中提取出合并中的以前的原程序出来吗? 2009-3-20 11:55 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 4 楼办法是有，但是难。我曾经也是在别人的工作基础上，对某molebox做了一下简单的分析。要没有其它人的基础，我自己还分析不了的。 2009-3-20 12:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复