F09607C74ADF356898CF03207606869B

最新推荐文章于 2021-05-29 16:14:44 发布
最新推荐文章于 2021-05-29 16:14:44 发布
阅读量890 收藏
点赞数
分类专栏: virus log 文章标签: c 解密 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1234567mdy/article/details/6212606
版权

 

多层加密在内存释放真正样本文件, 样本文件创建svchost.exe进程并从远程地址下载数据注入到新创建的svchost.exe中

 

开始解密用到: 在本进程中创建两个Pipe,利用两个Pipe中转数据

 

调试技巧:

该样本利用SetUnhandledExceptionFilter函数(顶级过滤函数)创建异常处理函数,并有目的的产生“非法访问内存”异常(004077c8处),从而调用自己的异常处理函数来处理。

OD调试时需要更改如下两个地方:选项/调试设置(Alt+O)/异常/非法访问内存 的 勾 去掉

                                               插件/HideOD/Option/SetUnhandledExceptionFilter 勾上

 

这个释放出的样本文件中的加密网址和 EC601A2313D71FEE0F73AA7908A8F0E0 的解密网址相同,研究下看看

通过下断点 BP CreateProcessA 来获得从远程下载到的内存样本。

 

 

 

想起什么来再写吧

马灯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
signature=a3f2d4610d2f7de293b5349bcbbd5d8c,交易 d3d9bfa0a7fb247b953dea026cbd37db8a3ef14860e245cd705372...
weixin_36410904的博客
05-29 3347
483045022100ae0c20ad01e0576f8eb576ff1afa36956c53dde5d16e27c10996948be4f5114602206f54df85afde2a76edd3d19ce58f9bfa73484f9df5ef48962a2e00c15f7bf106012102b74be6eadecd7859199ee1d4a01f5227fa369e2a5583c4a298...
signature=9d9043b86c8482f0cb59b2cf0ac57be3,MS13-081:Windows 内核模式驱动程序中的漏洞可能允许远程执行代码:2013 年 10 月 8 日...
热门推荐
weixin_39612332的博客
05-29 1万+
Windows6.1-KB2862330-v2-ia64.msu986BBC10B08FEFDC10F7C76A1E61EDAEA2AF6B1317D7210734DA4C16B08E5733CB29506CC322FF64D305F41EE1F2598CAA3EE4BAWindows6.1-KB2862330-v2-x64.msuC1A8B768D8C22640D0A80966D124F441E...
0x0D方法
weixin_41687289的博客
10-05 1133
在一个对象中绑定函数,称为这个对象的方法。 对象定义: var xiaoming = { name: '小明', birth: 1990 }; 如果我们给xiaoming绑定一个函数,就可以做更多的事情。比如,写个age()方法,返回xiaoming的年龄: var xiaoming = { name: '小明', birth: 1990, age: fu...
扫描UNICODE漏洞传播、攻击的蠕虫源代码 (转)
ciya3282的博客
10-02 143
扫描UNICODE漏洞传播、攻击的蠕虫源代码 (转)[@more@]在5.1期间的中美黑客战中,红客联盟攻击的网站中,windows+IIS+UNICODE漏洞主机占90%。(美国的poizenBOx同样是利用这个UNICODE...
signature=f4447be2b03f94d344842fd53c708af2,交易 a490fbc3ecc90662e70e513b3396f72fec906dde9f396497002dbe...
weixin_29964507的博客
05-29 1万+
160014e1fa2d29ec243d711ec0465775fa138fd4123557(witness) 3045022100ba1d576bbc290704effbe7f92cd99cfd7697809d510961c2dc99853ee4cf043102204dcce83b2a14355f67903fece2ba868a65cceccefefbc010e5d59252eaedc6f301...
signature=265dc38421eeba29e5d1ad32e1a8f735,Integrity
weixin_29282577的博客
05-29 1万+
IntegrityKeePass can be downloaded from many mirror servers. If you want to verifythe integrity of your downloaded file, you can hash the file(for instance with one of the following utilities:Visual H...
signature=95eea087473d092a96a2e8a1766b9911,MS12-036: Vulnerabilities in Remote Desktop could allow r...
weixin_28757113的博客
05-29 3827
Publisher file nameSha1SHA2windows6.0-kb2685939-ia64.msu82724A8FCF7B70818F216E81466B84A0F6EE609D59F1B6F13300F326A43569CDB3C3FCE28D7FC710B13CF929468538A43F902855windowsserver2003-kb2685939-x86-enu.exeE...
signature=97f6825e49e852b7cef999d3176defdc,来用百度密语吧!!!
weixin_36401013的博客
05-29 1956
该楼层疑似违规已被系统折叠隐藏此楼查看此楼百度密语32958b9be34ad6038d60efa9cfaf4f75e8f7653bf13de820bfdd4964ae90e006e36b5fe098260c2445e5a6c46604b31d31710339fbe78992e6b1d8c9eaecba8cf5951fce43df6ecf09ad2078b51b42e41cf1cd8356e12e...
signature=7e9effee9b64eedad0b51ac6c4bf2544,MS12-063:Internet Explorer 的累積安全性更新:2012 年 9 月 21 日...
weixin_30647489的博客
05-29 1万+
IE7-WindowsServer2003-KB2744842-ia64-DEU.exeCA636E07AD1AD8CA6558685C84B275B5366A1A4911548222EB75121E63BDA9073C8EB671C8EF6770A58ECB5AD57CFCE2BF285C95IE7-WindowsServer2003-KB2744842-ia64-ENU.exeED04D027...
326cf66f87e093075eae637173d72c74.xlsx
最新发布
12-27
326cf66f87e093075eae637173d72c74.xlsx
三位数乘两位数20150515151124_E9B5AC0B-968A-EE21-DF69-D88C74F08833.ppt
10-15
三位数乘两位数20150515151124_E9B5AC0B-968A-EE21-DF69-D88C74F08833.ppt
Ba@C74的表征、隔离和表征
06-29
Ba@C74 Representation,isolation and characteristic of Ba@C74 O. Haufe, A. Reich, C. MoÈschel and M. Jansen * Stuttgart, Max Planck Institute for Solid State Research 7月17日编辑收到, 2000. 献给 Rolf ...
Darstellung, Isolierung und Charakterisierung von Ba@C74
06-29
Darstellung, Isolierung und Charakterisierung von Ba@C74 Darstellung, Isolierung und Charakterisierung von Ba@C74 O. Haufe, A. Reich, C. MoÈ schel und M. Jansen* Stuttgart, Max-Planck-Institut fu...
9AFC526906346A4BD68A4B3147DC5410 和 0EF3D0884419F54FED9D5C36AD78C304 的解密比较
a1234567mdy的专栏
03-09 2495
<br /><br />AFC526906346A4BD68A4B3147DC5410的解密数据:<br />4044E4至40BD53 大小为7870(16进制)<br />解密Key:40BD54至40BEBC 大小为168(16进制)<br />解密方法:把解密数据按字节和Key按字节分别异或360次得到解密数据块(见IDA loc_401462处),再把解密数据块用Windows自带的ntdll.RtlDecompressBuffer函数进行解密得到真正的样本文件。<br /> <br />0EF3
127c4f729e6303a99b6704a471c9310d spyeye bot
a1234567mdy的专栏
03-17 2044
UPX脱掉第一层,重点分析第二层(dump_greere.exe):初始地址41DCA9,大小16C6的数据前后解密的比较,见 41DCA9_16C6_解密前 和 41DCA9_16C6_解密后,解密在004045D6地址处解密后跳到003C111B(初始3C0000)处继续执行,即从解密后的 0041DCA9+111B=41EDC4处执行。注意观察内存及函数的参数情况,得到 样本 00C2C7CF_16200.ex继续跟的话,程序又会把该样本 00C2C7CF_16200.ex 写进本进程,跟到0045
用WriteProcessMemory函数注入进程的流程
a1234567mdy的专栏
02-28 1988
<br />CreateProcessA         创建挂起进程<br />GetThreadContext <br />ReadProcessMemory<br />VirtualAllocEx             分配空间  <br />WriteProcessMemory 写入PE头<br />WriteProcessMemory 循环写入各节表<br />WriteProcessMemory <br />SetThreadContex
8CB8CCD14EB87A3614FF883829721920
a1234567mdy的专栏
02-28 1409
一个完整的IRC对话NICK {XP/CHN/539843}USER CHENJAVAAV * 0 :CHENJAVAAV:001 net.work 001:002 002 002:003 003 003:004 004 004:005 005 005:005 005 005:005 005 005PING 422 MOTDMODE {XP/CHN/539843} -ixJOIN #iframe# MODE {XP/CHN/539843} -ixJOIN #iframe# MODE {XP/CHN/5398
端口 3127 的情况研究下
a1234567mdy的专栏
04-07 865
<br />每个样本访问多个IP或域名,到底是怎么回事,找几个样本看下。
9fa11c3799c74a5ebfc4182346dd577e.zip
09-22
9fa11c3799c74a5ebfc4182346dd577e.zip是一个文件名,代表一个压缩文件。压缩文件是为了减小文件大小而进行的文件处理方式,可以将多个文件或文件夹压缩成一个单独的文件。 压缩文件的好处有: 1. 节省存储空间:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值