首页
社区
课程
招聘
[求助][求助]为什么windbg走不下去啊?急!!!!
发表于: 2009-7-30 10:42 3853

[求助][求助]为什么windbg走不下去啊?急!!!!

2009-7-30 10:42
3853
前天我的邮箱收到了一封邮件,附件是一个PPT文件,是个木马文件,运行后在TEMP目录下生成一个新的PPT文件,应该是原始文件,我看了一下进程监视,一个CMD进程启动了conime.exe 和Powerpnt.exe,但当我用windbg加载这个木马PPT文件时,下个createfilew和writefile断点,但每次都异常退出,重起了PowerPoint,我怀疑文件加了反调试限制,不知哪位大拿帮助解决一下,不胜感激!!!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

算正常啊

水贴
2009-8-2 00:20
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
一般没啥反调试,调试环境下堆的分配不同造成的吧。
怎么调试可以参考这个
http://blogs.technet.com/srd/archive/2009/04/02/investigating-the-new-powerpoint-issue.aspx

如果能找到样本里的shellcode,那也可以简单的加CC。
2009-8-2 17:02
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
http://rapidshare.com/files/262788220/___26085___34645____21508___23478___30456___27231___20840___21488___20998___20139_.7z.html

附送一个idb
用的API还是那一堆
2009-8-2 17:19
0
游客
登录 | 注册 方可回帖
返回
//