这是一个最近比较流行的使用.net加壳的病毒脱去.net壳后的一个中间体。脱壳和修复 过程不是很复杂,但还是需要一些小技巧。 未脱壳的代码如下图所示: 401535前面都是壳代码,从call eax进入到实际代码运行,从7ff8165c开始,但是实际代码运行后下api断点都断不来 从7ff8166b这个调用跟进去,发现它指向了一个mov edi,edi,然后跟转到kernel32中去