KIDofot

摘要： 一．样本概况 1、样本信息 样本来源：http://www.malware-traffic-analysis.net/2017/12/04/index.html Kaspersky，NOD32，360均报毒： MD5: 2908715EEC754ABA1AD21414B23CAFB6 SHA1: 4 阅读全文

摘要： 一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，IDA，Universal Import Fixer，OllySubScript 此篇是加密壳的第二篇，更详细的步骤和思考，请查看第一篇：手工脱壳之 未知加密壳 【IAT加密+混淆+花指令】 PESpin壳： 二 阅读全文

摘要： 一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，OllySubScript 未知IAT加密壳： 二、初步脱壳 尝试用ESP定律。 疑似OEP，VC6.0特征 进第一个CALL查看 确认是OEP。 OEP地址 = 47148b，RVA = 7148b 导入表函数 阅读全文

摘要： 一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，010Editor UPX壳 3.94： 有了上篇ASPack壳的经验，先查看数据目录表： 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口： 通过ESP定律，ESP下硬件断点。 阅读全文

摘要： 一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE FSG壳 2.0： 二、脱壳 1、追踪 修复IAT表代码 入口处，没有pushad特征，无法使用ESP定律。 查看导入表信息。 推测壳利用LoadLibrary 和 GetProcAddress 修复exe IA 阅读全文

摘要： 一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE ASPack壳： 二、脱壳 1.ESP定律 ASPack壳明显多了两个区段： 开头是pushad，可以采用ESP定律脱壳。 在esp下硬件断点： 断下来的地方单步几步，来到OEP。 第一个call是VC特征初始化 阅读全文

摘要： 一、工具及软件介绍 使用工具：Ollydbg 实现功能：去广告。 WinRAR版本：5.50 二、逆向逻辑 1、广告窗口 首先在对话框相关函数下断点。 断在了CreateWindowExW上。回溯分析。 分析得出此函数是弹出广告函数，直接去掉就可以了。 记录特征码： 6A 00 6A 01 E8 7 阅读全文

摘要： 一、工具及游戏介绍 使用工具：Ollydbg，PEID，Beyond Compare，Cheat Engine 实现功能：无敌，全部通关。 Crimsonland 血腥大地 二、实现无敌： 使用CE查找全局变量。 无敌成功。 三、通关： 1、文件对比 原始关卡： 这里先采用上一篇文章的方法。 渡者方 阅读全文

摘要： 一、工具及游戏介绍 使用工具：Beyond Compare，010Editor，Ollydbg 实现功能：全部通关。 ferryman 渡者 二、逆向逻辑 1、初步判断 有两个方案： 进OD下相关的文件API断点，观察游戏数据被保存在哪个配置文件。 第二方法比较取巧，通过文件资源管理器的时间排序，来 阅读全文

摘要： 一、工具介绍 使用工具：Ollydbg，PEID，ImpREC，Cheat Engine，火绒剑 实现功能：除去广告，游戏秒杀。 二、除去广告 1、初始判断 点击开始游戏，弹出窗口，点击继续，弹出游戏界面。 查看火绒剑进程信息，发现了创建了两个进程，为以下创建关系。 qqllk.exe -> qql 阅读全文