非法非非法

摘要： 样本信息 壳信息 FSG1.0 脱壳 找到原始OEP 尾部远跳法 ESP定律 push ebx 后设置[ESP]硬件访问断点4个字节 多次触发硬件断点后最终到达OEP 0x401090 插件 使用插件静待到达OEP Dump And Fix 字符串信息 导入表信息 样本分析 查杀思路 这个样本几乎没 阅读全文

摘要： 样本信息 壳信息 UPX 脱壳 upx -d -o [目标文件] 字符串信息 导入表信息 样本分析 OD main函数 IDA main函数 sub_401040函数 线程回调函数 sub_00401150 恶意行为 将进程挂到服务上以服务的方式常驻运行 创建互斥量“HGL345” 开启20个线程， 阅读全文

摘要： 样本信息 字符串信息 strings 发现一个kerne132.dll与kernel32.dll不同 导入表信息 IDA静态分析 把kernel32.dll的导出表填充到lab01-01.dll的导入表中 将lab01-01.dll拷贝到c:\windows\system32\kerne132.dl 阅读全文