首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]这个木马(ASProtect变异?)怎么分析......我就不信了,难道没人知道?
发表于: 2009-5-21 14:30 5174

[求助]这个木马(ASProtect变异?)怎么分析......我就不信了,难道没人知道?

fatfishcc 活跃值
2009-5-21 14:30
5174
在ollydbg中,一运行就出现Debugged program was unable to process exception

困扰好久了,请大虾指教

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (7)
fatfishcc
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我感觉是用了一些个anti-debug的东东
2009-5-21 15:05
0
fatfishcc
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
另外,我一直不太明白,下面的语句是怎么回事(ollydbg):

004CD001    60              PUSHAD
004CD002    E8 03000000     CALL explorer.004CD00A
004CD007  - E9 EB045D45     JMP 45A9D4F7
004CD00C    55              PUSH EBP
004CD00D    C3              RETN

那个call的地址,004CD00A是在下一句(004CD007  - E9 EB045D45     JMP 45A9D4F7)的中间,而不是开头。

这种现象是属于正常的么???这是病毒作者的花招,还是我用ollydbg用得不对??????---这个问题困扰我好久了。
2009-5-21 17:47
0
luckxiao
雪    币: 279
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
近距离的Call ,请按F7
2009-5-21 18:08
0
fatfishcc
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
F7,F8都试过了,没用
2009-5-21 18:15
0
superlzdcn
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
花指令啊,防止静态分析的
2009-5-22 14:58
0
fatfishcc
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
那么当我用ollydbg动态分析的时候,应该没有影响,对吧???

另外,我用strings或者IDA pro可以看到里面有ulrDownloadToFile之类的reference,但是在ollydbg中看不到。这是怎么回事???

还有,上面的not able to process exception,怎么处理呢?
2009-5-22 16:16
0
fatfishcc
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
好像是ASProtect的变异
2009-5-23 00:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//