摘要： 白加黑，所谓白加黑就是用第三方的软件的某个模块实现加载，而这个模块是完全没毒的，而且还有数字签名，该模块会加载dll文件，我们写一个恶意的dll，这个dll导出那个模块需要的函数。典型的，就是暴风影音的升级程序。BaofengUpdate.exe会加载目录下的Update.dll中的RunUpdate函数。所以我们自己写一个Update.dll并且导出RunUpdate函数即可。盗号的流行方法一个主EXE，另外一张XXX.JPG，这张jpg是特别处理过的，在图片的末尾追加了一些shellcode，或者追加一个加密过的PE文件，而你用图片查看软件查看的时候能却是能显示出来一张图片，主EXE负责把 阅读全文

摘要： 00402183 68 60214000 push 0040216000402188 B8 00124000 mov eax, <jmp.&MSVBVM60.DllFunctionCall>0040218D FFD0 call eax而00402160地址处的数据如下00402160 FC 20 40 00 50 21 40 00即004020FC 这是模块的名字，00402150 这是要调用的函数的名字。 阅读全文

摘要： 分析某样本的时候我发现此样本中某函数是通过重定位表获取SSDT表RVA的，其中某段代码会检测ntkrnlpa.exe IMAGE_FILE_HEADER中的chracteristic是否有relocation stripped属性，如果有则直接返回。据此，我们是否可以把ntkrnlpa.exe添加上relocation stripped属性，添加上这个属性的话，该文件的checksum值肯定会变化，还得刷新下checksum值。然后注册一个关机回调，等到关机的时候再把ntkrnlpa.exe的relocation stripped属性去掉，把原来的checksum值写入。 阅读全文

摘要： 先转载下某个博客园网友的文章，这里表示下感谢。http://www.cnblogs.com/hhuai/archive/2010/03/01/1675389.html////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////网上其实有很多介绍ssdt还原的文章，看起 阅读全文

摘要： 一个程序如果用普通的加壳程序处理之后，脱壳之后的程序应该和原来的程序是一模一样的，压缩壳普遍都是这种情况，但是对于某些加密壳来说有入口点保护的功能，会把你原本程序的入口点的代码改变，同时在其中加入一些垃圾代码，导致你脱壳后的入口点代码和未加壳程序入口点代码是不一样的，但是不影响程序的结果，相当于把你入口点的代码给变形了。某个vb程序用asprotect 加壳之后用脚本顺利到达入口点处，我们看下入口点的代码01140253 68 26AE4500 push 45AE26 ; OEP01140258 66:9C ... 阅读全文