一个病毒的脱壳及修复

最新推荐文章于 2022-12-30 16:43:27 发布
最新推荐文章于 2022-12-30 16:43:27 发布
阅读量1.6k 收藏
点赞数
分类专栏: Windows 文章标签: 病毒 脱壳 修复 OD .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justFWD/article/details/41121835
版权
本文详细介绍了如何处理一个使用.NET加壳技术的流行病毒,包括识别其脱壳后的中间体,分析病毒如何绕过API断点,并提供了一种修复Import Address Table(IAT)的方法。通过在内存中修补壳代码,使得病毒行为变得可追溯。最后,通过创建新的PE节和使用特定工具修复DUMP文件,使其能在IDA中进行进一步分析。此病毒的.NET壳能有效规避部分安全软件的检测。
摘要由CSDN通过智能技术生成

 这是一个最近比较流行的使用.net加壳的病毒脱去.net壳后的一个中间体。脱壳和修复 过程不是很复杂,但还是需要一些小技巧。

    未脱壳的代码如下图所示:


wKioL1RcKGKRutCoAAF1CM64txo111.jpg

401535前面都是壳代码,从call eax进入到实际代码运行,从7ff8165c开始,但是实际代码运行后下api断点都断不来

wKiom1RcJ_2hbFNFAAHEoWib67Y787.jpg

7ff8166b这个调用跟进去,发现它指向了一个mov edi,edi,然后跟转到kernel32中去

wKioL1RcKGLDNPaYAACI8M0HVMs336.jpg

最低0.47元/天 解锁文章
justFWD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通用输入表修复工具 v1.2
03-16
此外,软件还附带了QQ截图20141103003548.png,这可能是开发者提供的一个示例或者使用教程,帮助用户更好地理解和使用工具。通过查看这张截图,用户可以直观地了解如何启动软件,执行修复操作,以及查看修复结果。 ...
简单脱壳教程笔记
A powerful and unconstrained style
08-18 7467
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
病毒加壳技术与脱壳技术
B_H_L的专栏
10-16 4552
由于大量的杀毒软件的出现,以及杀毒软件病毒库的不断壮大,病毒被查杀的几率也越来越大。所以有些病毒就开始通过加壳的方法来伪装自己,企图骗过杀毒软件,蒙混过关。为了做好病毒防御,我们就该了解什么是加壳?加壳的对立面是不是脱壳?如何脱壳等?    一 什么是壳:    计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任
关于服务器/电脑被勒索病毒加密后缀名变为[********].Seoul的解决方案思路
jinhaishuoX的博客
12-30 786
针对于最近客户咨询的.Seoul的勒索病毒加密文件的分析以及恢复思路
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1435
什么是壳 大家应该先明白“壳”的概念。在自然界中,我想大家对"壳"这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(当然后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在...
特别好用的UPX脱壳工具
07-20
在标签中提到的“脱壳”是一个关键概念。脱壳是逆向工程中的术语,指的是移除软件上的保护层,如压缩壳、加密壳或者混淆壳等。UPX壳是一种常见的文件压缩技术,它将原始的可执行文件数据压缩后替换,当程序运行时,...
Zprotect脱壳机.rar
05-22
解壳是逆向分析的第一步,因为许多病毒、木马或黑客工具都会使用各种壳技术来混淆代码,防止被轻易分析。 此次更新的亮点在于对BC++程序的支持。BC++,全称Borland C++,是一种早期流行的C++编译器,由于其编译出的...
35款最新自动脱壳工具合集
09-23
在IT安全领域,"脱壳"是一个至关重要的概念,它涉及到病毒分析、恶意软件研究以及逆向工程。本文将详细探讨“自动脱壳工具”的核心知识点,并基于标题和描述提供的信息,逐一解析这些工具可能涉及的技术和应用。 ...
超级巡警病毒分析 File Format Identifier(自动查壳脱壳) v1.53 汉化版
12-25
★增加一个新的区段 ★从文件中删除区段 ★从PE头中删除区段(区段内容实质还在) ★用指定的数据填充区段 SubSystem后按钮可以显示PE文件的详细信息,支持详细编辑PE文件的Dos头,NT头等信息,支持查看PE文件的导出...
加壳脱壳(转)
LG的专栏
03-31 1077
 加壳脱壳 新手必看 初学者必须掌握原理 (综合定义) 壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“壳”的世界吧。 一、金蝉脱壳的故事 我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是:寒蝉在蜕变时,本体脱离皮壳而
病毒木马查杀实战第015篇:U盘病毒脱壳研究
Gleam的专栏
04-20 1万+
前言       由于我们的最终目标是编写出针对于这次的U盘病毒的专杀工具,而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示,如果真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀。 对病毒样本进行脱壳       按照常规,首先是对病毒进行查壳的工作,这里我所使用的是“小生我怕怕”版的PEiD,之所以用这个版本,是因为经过我的实际测试,常规的PEiD或
介绍下加壳、脱壳以及如何病毒免杀技术与原理
weixin_33724570的博客
11-17 840
2019独角兽企业重金招聘Python工程师标准>>> ...
勒索病毒傀儡进程脱壳
随心散人专栏
09-05 935
样本是:wallet勒索病毒 环境:虚拟机VMWARE win7 32位 工具:OD c32asm 初次拿到样本,先用火绒剑工具监控下病毒样本的流程,可以看到有一个自创建进程的行为。 我们等找到OEP后,在CreateProcessA下断点进行跟踪, 找到OEP后,对CreateProcessA下断点
手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 1811
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
(爱加密系列教程十二) 如何防止jd-gui查看代码!
01-06 266
使用jd-gui查看class文件的时候,经常会发现有一些方法或类,无法正常的显示出来。 我们可以利用这个bug,来阻止jd-gui反编译我们的class文件。 首先反编译一个有源码的项目,用 jd-gui查看,找到无法显示的类或方法。对比源码找到是哪些代码引起的bug。然后把代码提取出来。这里拿我找的一段代码为例。 这段switch代码由于条件不成立永远不会被执行。所以我们把这段代
加壳、脱壳以及如何病毒免杀技术与原理
aitanwu4387的博客
12-30 941
壳,加壳,脱壳 在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序...
(爱加密系列教程二十三)伪加密+设备管理器不可删+webview漏洞
Dorrn的专栏
01-04 736
伪加密1:apk打开需要密码 成因:修改zip的头,把文件的加密标志设置为ture,还原就把加密标志设置为false.利用了Android处理zip文件不判断头里的加密信息,其他压缩软件,java默认实现的zip api都有检测zip头中的加密信息 伪加密2:apk压缩文件被破坏 成因:APK在PC上面可以看作一个压缩文件,在Android系统里面它就是一个手机系统软件文件。Andro
勒索病毒工作原理
热门推荐
那些零零散散的算法
05-22 2万+
前些天借着Windows上的”永恒之蓝“漏洞,本来几乎快销声匿迹的加密勒索病毒又重新回到了公众视线里。由于电信等网络运营商早就封堵了可能导致中毒的445端口,所以外网影响不大,但是教育网里的同学就遭殃了,尤其是很多临毕业的学生纷纷中招,论文被加密,可能因此被迫延毕。 本文尝试着还原这些勒索病毒中文件加解密的原理,来了解为什么这些病毒这么难缠,并给出一些“破解”的可能性,虽然条件都比较苛刻。
一个软件如何脱壳逆向解析
最新发布
07-13
软件脱壳和逆向工程是一种研究和分析软件的方法,但需要注意的是,这些活动可能涉及到侵犯软件的版权和法律问题。在进行任何逆向工程前,请确保您遵守适用的法律法规,并且只对您有合法所有权的软件进行操作。 一般来说,要脱壳和逆向解析一个软件,您可以考虑以下步骤: 1. 确定软件类型:了解软件的类型(例如:可执行文件、动态链接库等)以及它所使用的保护机制(如加密、壳等)。 2. 反汇编:使用逆向工程工具(如IDA Pro、OllyDbg等)对软件进行反汇编,将二进制文件转换为可读的汇编代码。 3. 静态分析:仔细研究和分析软件的汇编代码,以理解其结构、功能和逻辑。 4. 动态分析:在调试器中运行软件,并使用动态分析工具(如OllyDbg、x64dbg等)进行监视和跟踪,以了解软件的运行过程和行为。 5. 解除保护:如果软件被保护(如加壳),您可能需要使用专门的工具或技术来解除保护,以便进一步分析。 请注意,逆向工程是一项复杂的技术活动,需要有相关的知识和经验。此外,逆向工程活动可能违反软件许可协议和法律法规。在进行逆向工程之前,请确保您了解相关法律,并遵守合法和道德的原则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值