Lab01-03

目录

• 样本信息
  • 壳信息
  • 脱壳
    • 找到原始OEP
    • 尾部远跳法
    • ESP定律
    • 插件
  • Dump And Fix
  • 字符串信息
  • 导入表信息
• 样本分析
• 查杀思路
• 总结
• 技巧

样本信息

壳信息

• FSG1.0

脱壳

找到原始OEP

尾部远跳法

ESP定律

• push ebx 后设置[ESP]硬件访问断点4个字节
• 多次触发硬件断点后最终到达OEP 0x401090

插件

使用插件静待到达OEP

Dump And Fix

字符串信息

导入表信息

样本分析

查杀思路

• 这个样本几乎没有什么恶意行为，只是打开了一个目标网址

总结

• 脱壳方法：ESP定律、插件

技巧

• 打开一个网页的方法——COM组件

OleInitialize
CoCreateInstance
VariantInit
SysAllocString
ObjectStublessClient11
SysFreeString
OleUninitialize