微点交流论坛

标题: 未知双进程壳MSN蠕虫，微点送你上西天 [打印本页]

作者: 点饭的百度空间 时间: 2008-12-31 10:01 标题: 未知双进程壳MSN蠕虫，微点送你上西天

一行白鹭上青天, 全部放到锅里煎.

平不孤独

未知双进程壳：

OD对CreateProcess下断，A/W看需要，F9运行，

断到CreateProcess后Alt+F9返回到用户领空

搜索API调用，WriteProcessMemory下断，

这Msn-Worm就开始吐了，貌似吐了五次吧，你吐多少我就加多少，这样很OK，这buffer写的还算到位，一步全部抠出，用C32Asm写入保存这Worm就没皮啦。。。。。记得有的双进程壳地址是乱序写入的，那么就多新建几个文件最后统一嫁接起来，我想这个应该对脱所有双进程壳生效吧。。。。。OEP不用修，导入表不用修，看看居然文件对齐都不用修，汗！。。。。

老思路往出发

00403948                . 56                   push esi
00403949                . 56                   push esi
0040394A                . 56                   push esi
0040394B                . 6A 56                push 56                            ; /Char = 56 ('V')
0040394D                . FF15 64614000       call dword ptr ds:[<&USER32.VkKeySc>; \VkKeyScanA

IRC 地址懒得往出跟了，睡觉！。。。无论是脱得还是没脱的微点通通送你上西天。。。

作者: zqrsc 时间: 2008-12-31 10:05
不错不错~~加分~

作者: 点饭的百度空间 时间: 2009-1-4 17:51

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn