摘要:
一.样本概况 1、样本信息 样本来源:http://www.malware-traffic-analysis.net/2017/12/04/index.html Kaspersky,NOD32,360均报毒: MD5: 2908715EEC754ABA1AD21414B23CAFB6 SHA1: 4 阅读全文
摘要:
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,IDA,Universal Import Fixer,OllySubScript 此篇是加密壳的第二篇,更详细的步骤和思考,请查看第一篇:手工脱壳之 未知加密壳 【IAT加密+混淆+花指令】 PESpin壳: 二 阅读全文
摘要:
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,OllySubScript 未知IAT加密壳: 二、初步脱壳 尝试用ESP定律。 疑似OEP,VC6.0特征 进第一个CALL查看 确认是OEP。 OEP地址 = 47148b,RVA = 7148b 导入表函数 阅读全文
摘要:
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,010Editor UPX壳 3.94: 有了上篇ASPack壳的经验,先查看数据目录表: 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口: 通过ESP定律,ESP下硬件断点。 阅读全文
摘要:
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE FSG壳 2.0: 二、脱壳 1、追踪 修复IAT表代码 入口处,没有pushad特征,无法使用ESP定律。 查看导入表信息。 推测壳利用LoadLibrary 和 GetProcAddress 修复exe IA 阅读全文
摘要:
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE ASPack壳: 二、脱壳 1.ESP定律 ASPack壳明显多了两个区段: 开头是pushad,可以采用ESP定律脱壳。 在esp下硬件断点: 断下来的地方单步几步,来到OEP。 第一个call是VC特征初始化 阅读全文
摘要:
一、工具及软件介绍 使用工具:Ollydbg 实现功能:去广告。 WinRAR版本:5.50 二、逆向逻辑 1、广告窗口 首先在对话框相关函数下断点。 断在了CreateWindowExW上。回溯分析。 分析得出此函数是弹出广告函数,直接去掉就可以了。 记录特征码: 6A 00 6A 01 E8 7 阅读全文
摘要:
一、工具及游戏介绍 使用工具:Ollydbg,PEID,Beyond Compare,Cheat Engine 实现功能:无敌,全部通关。 Crimsonland 血腥大地 二、实现无敌: 使用CE查找全局变量。 无敌成功。 三、通关: 1、文件对比 原始关卡: 这里先采用上一篇文章的方法。 渡者方 阅读全文
摘要:
一、工具及游戏介绍 使用工具:Beyond Compare,010Editor,Ollydbg 实现功能:全部通关。 ferryman 渡者 二、逆向逻辑 1、初步判断 有两个方案: 进OD下相关的文件API断点,观察游戏数据被保存在哪个配置文件。 第二方法比较取巧,通过文件资源管理器的时间排序,来 阅读全文
摘要:
一、工具介绍 使用工具:Ollydbg,PEID,ImpREC,Cheat Engine,火绒剑 实现功能:除去广告,游戏秒杀。 二、除去广告 1、初始判断 点击开始游戏,弹出窗口,点击继续,弹出游戏界面。 查看火绒剑进程信息,发现了创建了两个进程,为以下创建关系。 qqllk.exe -> qql 阅读全文