微点交流论坛

标题: win32k OD简单分析加未知畸变壳的灰鸽子 [打印本页]

作者: 点饭的百度空间 时间: 2008-3-8 13:28 标题: win32k OD简单分析加未知畸变壳的灰鸽子

作者:win32k http://hi.baidu.com/win32k/blog/ ... efd55d242df2c9.html

卡饭拿到样本，连接：
hxxp://bbs.kafan.cn/viewthread.php?tid=213743&extra=page%3D1

PEID查看未知壳

看大小就知道压缩了，只不过畸变又加了个区段

ＯＤ载入bp GetStartupInfoA,F9三次后（个人感觉GetStartupInfoA是分析带壳病毒最佳断点）

Alt+F9返回，分析从模块移除分析

查找ASCII

远程管理软件灰鸽子服务端安装成功！

至于壳脱不脱都无所谓了，其实还有一种方法分析灰鸽子，不过要把注册表搞的乱七八糟的，懒得用。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn