Exp4 恶意代码分析 20204308李文艳

最新推荐文章于 2024-04-30 17:02:38 发布
最新推荐文章于 2024-04-30 17:02:38 发布
阅读量618 收藏
点赞数
文章标签: linux 网络 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61155000/article/details/129898577
版权

Exp4 恶意代码分析 20204308李文艳

1. 基础问题回答

1.1 工作中怀疑主机上有恶意代码

如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:

  • 使用windows自带的schtasks指令,设置一个计划任务定时地对所运行的程序进行监控。
  • 使用Sysmon,编写配置文件,记录有关的系统日志 。
  • 使用wireshark抓取数据包,进行分析 。
  • 使用SysTracer,一定时间间隔拍摄一张快照,对比不同快照,查看是否有可疑行为。
  • 使用Process Explorer工具,监视进程执行情况。

1.2 已确定某个程序或进程有问题

如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:
(1)静态分析
使用virustotal或virscan,对恶意软件进行分析,可以得到它的基本属性、头部、各个节以及引用的链接库的信息;
使用PEiD,查看恶意软件是否加壳,加的什么壳;
使用PE Explorer,查看恶意软件的PE头、数据目录、节头表信息,以及引用的链接库的信息;
使用String工具,分析恶意程序是否包含可疑字符串。
(2)动态分析
使用SysTracer,查看此恶意软件对注册表和文件的修改;
使用Wireshark抓包,分析恶意软件的通信过程;
使用Process Explorer或Process Monitor,监视文件系统、注册表,分析恶意软件的活动。

2. 实验总结与体会

通过本次实验,让我进一步学习了如何更好地监控自我的计算机,从而可在一定程度上保证运行过程中的安全可控。利用各种可实现监控功能的软件,在边使用边了解的过程中了解其含义。让我印象最深的软件还是Systracer软件,其快照对比不同的方式,让我们更容易发现计算机的异常,通过查看注册表、进程等的不同,发现每个操作所要改变的应用程序。

3. 实验过程记录

3.1 使用schtasks指令监控系统

使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。

3.1.1 在D盘中的pwn4_tmp文件夹中创建一个脚本文件 netstat4308.bat

因为不能直接写入.bat文件,所以我在D盘创建了一个netstat4308.txt文本文件,并在脚本文件中写入以下命令:

date /t >> d:\pwn4_tmp\netstatlog.txt 
time /t >> d:\pwn4_tmp\netstatlog.txt
netstat -bn >> d:\pwn4_tmp\netstatlog.txt

在这里插入图片描述

在这里插入图片描述

3.1.2 用命令行创建任务计划

schtasks /create /TN schtasks4308_3.1 /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > d:\pwn4_tmp\netstatlog4308.txt

在这里插入图片描述

TN是TaskName的缩写,后跟创建的计划任务名;sc表示计时方式,这里以分钟计时填MINUTE;TR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口。

3.1.3 对任务计划进行进一步配置

  • 在常规中选择“使用最高权限运行”

在这里插入图片描述

  • 选择批处理文件netstat4308.bat

在这里插入图片描述

  • 将“只有在计算机使用交流电源时才启动此任务”勾掉

在这里插入图片描述
这样每2分钟就会监测哪些程序重在联网并记录在netstatlog.txt记事本文件中。
在这里插入图片描述

3.1.4 Excel表格中分析记录的数据

该电脑主机在2023/04/01 周六 17:00 时刻捕捉到的连接活动

  • 使用协议分析
    根据记录,连接活动使用的协议均为TCP
  • 该时刻连接的应用程序分析
    在这里插入图片描述
    通过应用程序名称我们可了解到该时刻该主机所启动联网的运用程序有哪些,[LenovoPcManagerService.exe] [OneDrive.exe] [SmartEngineHost64.exe]
    [svchost.exe] [WeChat.exe] [ipfsvc.exe] [WUDFHost.exe]
    [wpscloudsvr.exe] [cloudmusic.exe] [SearchHost.exe] [msedge.exe]

WpnService是描述此服务在会话 0 中运行,托管通知平台以及用于处理设备与 WNS 服务器之间的连接的连接提供程序。

  • 本机IP分析
    截取记录的ip地址,IPV4、IPV6均对应
    在这里插入图片描述
  • 外部IP
    在这里插入图片描述
    对该时刻的ip进行简单的分类(种类太多无法画条形图进行分析)
    我们可以看到大多都是使用443https协议服务端口,还有部分HTTP协议的80端口,还有一部分DNS域名服务器的通信的53端口,其中还有本机地址中一些使用了私有端口。
  • 查询部分外部地址来源
    https://ip.tool.chinaz.com/利用该网址进行查询来源

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.2 使用sysmon工具监控系统

安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

3.2.1 安装Sysmon

一键安装命令(需要以管理员身份运行cmd):D:\Soft\Sysmon\Sysmon64.exe -i
在这里插入图片描述
在这里插入图片描述

3.2.2 编写xml配置文件

Sysmon官网了解其相关用法,包括配置条目、事件筛选条目等。
在这里插入图片描述

xml关系如下:

<Sysmon schemaversion="4.83">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>

    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">msedge.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">msedge.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">msedge.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

在这里插入图片描述

参数解释:
exclude(不包括)相当于白名单,不用记录。include(包括)相当于黑名单。
Image condition要根据自己使用的浏览器更改。由于我使用的是Microsoft Edge浏览器,所以在我的配置文件中,排除了(不记录)进程名为msedge.exe的进程。但是要记录以cmd.exe结尾的进程记录。
FileCreatTime:进程创建时间。这里排除(不记录)浏览器进程的创建时间。
NetworkConnect:网络连接。过滤掉(不记录)浏览器的网络连接,源IP地址为127.0.0.1、源端口为137的连接服务。包含(记录)目的端口为80(http)和443(https)的网络连接。
137端口:提供局域网中ID或IP查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。
127.0.0.1:环回地址,表示本机。
CreateRemote:远程线程创建。记录的线程如下:

  • explorer.exe:Windows程序管理器或者文件资源管理器

  • svchost.exe:一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

  • winlogon.exe:Windows NT 用户登陆程序,用于管理用户登录和退出。

  • powershell.exe:专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。

3.2.3 启动sysmon,更新配置文件(以管理员的身份运行命令行)

将sysmon按照修改好的配置文件进行更新,sysmon -c D:\Soft\Sysmon\Sysmon20204308_pd.xml
在这里插入图片描述

3.2.4 使用事件查看器分析进程

Win+R输入eventvwr.msc打开事件查看器
应用程序和服务日志 -> Microsoft -> Windows -> Sysmon -> Operational,可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等。
在这里插入图片描述
用Kali的windows/meterpreter组件生成Windows下的exe后门,并按照后门程序进行配置(实验二内容)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.3 分析恶意软件

3.3.1 使用VirusTotal分析

把生成的恶意代码放在VirusTotal进行分析,基本情况如下:
在这里插入图片描述
查看其基本信息(如:MD5值、SHA-1值、文件类型、TRiD值 [TRiD通过读取文件头,根据特征码进行文件类型匹配]、需要的dll库)

3.3.2 使用PEiD 静态分析

PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
在这里插入图片描述

yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [调试] *
1)其他壳伪装成yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
2)没有加壳,作者加了花指令,伪装成yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
此处形成的后门程序是未加壳的。

在这里插入图片描述
从显示可以看出,其查出了恶意程序加壳的情况。
UPX v0.89.6 - v1.02 / v1.05 - v1.22 只是一个简单的压缩壳
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.3.3 使用Process Explorer分析

打开procexp.exe
Process Explorer可以监听到电脑上所有正在运行的程序,找到可疑行为,仔细观察是否有后门程序
通过Process Explorer中的Find工具查找使用了cmd的进行,直接定位到后门程序
在这里插入图片描述
选中此后门程序后,可以直接点击Kill Progress杀死进程后,Linux主机和断开对wins的控制。
在这里插入图片描述

3.3.4 使用Systracer动态分析

总共截了以下五张快照:

  • 快照一:未移植后门程序,保存为Snapshot #1
  • 快照二:运行后门程序并在kali中实现回连,保存为Snapshot #2
  • 快照三:在kali中使用ls指令,保存为Snapshot #3
  • 快照四:在kali中使用screenshot指令,保存为Snapshot #4
  • 快照五:在kali中使用getuid指令,保存为Snapshot #5

快照一和快照二进行对比:
应用程序上看是存在较大改变的,比如增添了tcp 4308端口的连接等等。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
快照二和快照三进行对比:
注册表变化:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
不再运行后门应用程序20204308lwy_pwn4_backdoor.exe
在这里插入图片描述
快照三和快照四进行对比:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
快照四和快照五进行对比:
在这里插入图片描述
在这里插入图片描述
增加了vmnat.exe应用程序。vmnat.exe是VMware NAT相关服务。用于VMware虚拟机NAT应用。

3.3.5 使用Wireshark抓包分析

运行后门应用程序20204308lwy_pwn4_backdoor.exe,在kali中回连。
把过滤规则设置为ip.addr == 192.168.191.128,只留下与kali机有关的数据包。
三次握手:
在这里插入图片描述
在kali中输入ls,发现wireshark又捕获到一些数据包,通过分析可得红色框为kali发送给win有关ls命令的数据,黄色框是win回传给kali的相关数据。
在这里插入图片描述
在这里插入图片描述
所传data与kali显示的结果对应
在这里插入图片描述
在kali中输入exit,抓取到了断开连接的数据包。
在这里插入图片描述

4. 遇到的问题及解决

4.1 无法通过IP直接访问网络

发现无法通过IP访问网络,其管理员可能对此进行限制
在这里插入图片描述
通过查询可知,可能存在以下几个原因:
在这里插入图片描述
联想起计网课上老师提到过第二和第三个原因,尝试用百度的ip进入百度的网页,可以成功进入。
在这里插入图片描述
在这里插入图片描述
尝试用云班课的ip进入云班课的网页,发现其是原因3,管理员设置了防护墙。
在这里插入图片描述
在这里插入图片描述

4.2 无法抓取kali与主机互联的数据包

通过询问课题负责人,发现自己是犯了第一个错误,网络适配器没有配置正确。
在这里插入图片描述
在解决这次问题的过程中,也让我进一步就理解了红框处的含义,如果最初我就深刻理解了其含义,那么网络适配器就不会配置错误。
交换数据的ip:
kali:192.168.191.128:4308 访问4308端口
主机:192.168.191.1:53586 访问53586(动态端口)
在这里插入图片描述

清欢_yann
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
yoda's Protector V1.03.3(默认保护)的脱壳方法和具体分析
11-01
描述对于破解爱好者对于程序壳的去发的工具。此工具就针对于yoda's Protector 壳的脱掉。
Exp3 免杀原理与实践 20204308李文艳
m0_61155000的博客
03-26 207
整个实验做下来,让我感触最深的是杀软和免杀之间的博弈,通过不同方式,可以在一定程度上逃避杀软的检测。同时,对于如果自我开发程序,找到一些特殊的方式,杀软又会完全察觉不到恶意程序,这再一次警醒了我需要科学上网,提高网络安全意识。感觉做的这些实验都很有趣,通过几次实验,也看到了自己的进步,以前出现问题都可能处于一个不知的状态,因为不会去看命令后的显示的英文。而现在逐渐养成了一种意识,关心了解一下,命令行输入后出现的提示语或结果,有时可以知道解决方法就在提示中。
《Java程序设计自学手册》源代码
08-11
Java程序设计自学手册 王国辉 李钟尉 王毅 人民邮电出版社 本书从初学者的角度出发 通过通俗易懂的语言和大量生动典型的实例 由浅入深 循序渐进地介绍应用Java进行网络编程的常用技术和方法 全书分为3篇 共20章 第1篇为起步篇 第1章 第8章 主要介绍Java语言概述 搭建Java开发环境 Java语言基础 使用开发工具Eclipse 算法和程序控制结构语句 面向对象编程 数组及其应用 字符串操作技术和集合类及其应用等内容;第2篇为提高篇 第9章 第14章 主要介绍异常处理 I O处理技术 线程技术 JDBC技术 Java Swing等一些高级开发技术 在本篇的最后还通过一个进销存管理系统对前面章节的内容进行了实践;第3篇为实例篇 第15章 第20章 主要介绍JSP环境基础 JSP语法基础 JSP的内置对象 JavaBean技术和Servlet技术等Java Web领域的基础知识 最后通过一个博客网站介绍Java Web基础知识的综合应用 本资料为书本例子的源代码">Java程序设计自学手册 王国辉 李钟尉 王毅 人民邮电出版社 本书从初学者的角度出发 通过通俗易懂的语言和大量生动典型的实例 由浅入深 循序渐进地介绍应用Java进行网络编程的常用技术和方法 全书分为3篇 共20章 [更多]
万能脱壳机 能够快速准确的脱很多流行的壳
05-26
给出这个功能的能脱列表(本人调试过的): upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 //以下三壳,没有解决dump问题 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器(跟kbys0.28一样) polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(其实就是expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect(传说中的mslrh0.2??) ASPack 2.12 FsG2.x UPX1.x-2.x的壳
一个好用的万能脱壳工具
06-25
脱壳工具,通用脱壳工具对目前流行的壳有一定的作用。可以快速脱壳。
Yoda's Protector-开源
05-13
Yoda的保护器是一个免费的,开源的Windows 32位软件保护器。
脱壳工具大汇总
樱*夜精灵
02-18 7157
脱壳工具 文件类型侦测工具 peid 0.94 现在软件越来越多的加壳了,给破解带来非常大的不便,用这个软件可以检测出常见的各种壳,非常方便。更新签名库及部分插件。2008/1/1 DIE 0.64 另一款文件工具   http://hellspawn.nm.ru FileInfo v3.01r F
exp4恶意代码分析实验报告-20202127
qq_57435798的博客
04-05 1569
本次实验的重点是借用软件工具,通过工具来具体分析恶意代码,通过对后门文件的多方面分析检测,查看是否主机中有可疑对象和可疑行为,这对平时主机的使用和保护都有着重大的实际作用。这个程序对系统的正常运行是非常重要,而且是不能被结束的。这次试验任务量比之前的三次实验大了很多,而且比较侧重于自己分析,通过利用一些专业的分析工具,可以对恶意代码进行静态和动态的分析,这些工具除了wireshark在之前学习使用过,其他工具都是从没有听说过,通过这些工具的使用也让我对恶意代码有了更深的认识。以后还要加强这方面的学习。
再见病毒一枚
zhangmiaoping23的专栏
08-09 1469
http://bbs.pediy.com/showthread.php?p=1207854#post1207854 之前论坛上已有发大牛分析了,抱着学习目的练习下   病毒名称:      xxmb                                                                                                 
yoda1.02壳伪装技术揭秘
HUA的专栏
12-23 2901
现在很多软件加壳之后,你用查壳软件一查,都显示yoda壳,这是为什么呢?这到底代表了什么壳呢? 打开peid的userdb.txt,里面查找一下yoda的特征码,发现居然从头到尾都是问号,看来这数据库将识别不到的都归为yoda了 所以一些vmp、tmd等强壳基本上都被伪装成这个了!! 更多精彩内容请访问www.zfsyhg.com
万能自动脱壳机
11-07
自动脱壳,帮你完成破解之忧. upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 //以下三壳,没有解决dump问题 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器(跟kbys0.28一样) polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(其实就是expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect(传说中的mslrh0.2??) ASPack 2.12 FsG2.x UPX1.x-2.x的壳
Java面向对象程序设计课本例题源代码
11-10
Java面向对象程序设计课本例题源代码 清华大学 耿祥义
黄文艳--2305301230210.zip
01-02
黄文艳--2305301230210.zip
最新最好用的脱壳机80%都可以脱
01-28
最新最好用的脱壳机80%都可以脱 upx 0.5x-3.01 All Version BeRoEXEPacker aspack 1.x--2.x All Version PEcompact 0.90--1.76 2.06--2.79 All Version fsg v1.0 v1.1 v1.2 v1.3 v1.31 v1.33 v2.0 All Version vgcrypt v0.75 nspack 1.4--4.1 All Version expressor v1.0 v1.1 v1.2 v1.3 v1.4 v1.501 npack v1.5 v2.5 v3.0 dxpack v0.86 v1.0 !epack v1.0 !epack v1.4 bjfnt v1.2 v1.3 mew5 mew v1.0 v1.1 packman v1.0 PEDiminisher v0.1 pex v0.99 petite v1.2 v1.3 v1.4 v2.2 v2.3 All Version winkript v1.0 pklite32 pepack v0.99 v1.0 pcshrinker v0.71 wwpack32 1.0--1.2 upack 0.1--0.399 rlpack 1.11--1.19 exe32pack v1.42 kbys v0.22 v0.28 yoda's protector v1.02 v1.025 v1.03.2 v1.03.3 yoda's crypt v1.1 yoda's crypt v1.2 v1.3 v1.xModify XJ exestealth 2.72--2.76 hidepe v1.0 v1.1 jdpack v1.01 v2.1 v2.13 jdprotect 0.9b PEncrypt v3.0 v3.1 v4.0 Stone's PE Crypt v1.13 telock v0.42 v0.51 v0.60 v0.70 v0.71 v0.80 v0.85 v0.90 v0.92 v0.95 v0.96 v0.98 v0.99 ezip hmimys_pack v1.0 lamecrypt v1.0 depack polyene v0.01 dragonArmour EP Protector v0.3 PackItBitch trojan_protect anti007 v2.5 v2.6 mkfpack yzpack v1.1 v2.0 spack method1 spack method2 naked packer v1.0 upolyx v0.51 stealthPE v1.01 stealthPE v2.2 mslrh v0.31 v0.32 mslrh v0.2 == [G!X]'s Protect morphine v1.3 morphine v1.6 morphine v2.7 rlpack full edition EXEFog v1.1 ASDPack PEBundle Neolite
通用脱壳工具
04-18
下面是我粗略测试后,能通过的壳列表,对于保护壳,有可能定位到OEP: ACProtect 1.09、1.32、1.41、2.0 AHPack 0.1 ASPack 102b、105b、1061、107b、1082、1083、1084、2000、2001、21、211c、211d、211r、212、212b212r ASProtect 1.1,1.2,1.23RC1,1.33,1.35,1.40,SKE.2.11,SKE.2.1,SKE.2.2,2.3.04.26,2.4.09.11 Alloy 4.1、4.3 alexprot 1.0b2 Beria 0.07 Bero 1 BJFNT 1.2、1.3 Cexe 10a、10b DragonArmor 1 DBpe 2.33 EPPort 0.3 eXe32Pack 1.42 EXECrypt 1 eXeStealth 2.75a、2.76、2.64、2.73、2.76、3.16(支持,但效果不是很好) ExeSax 0.9.1(支持,但效果不是很好) eXPressor 1.4.5.1、1.3(支持,但效果不是很好) FengYue'Dll unknow FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow MaskPE 1.6、1.7、2.0 MEW 11 1.0/1.2、mew10、mew11_1.2、mew11_1.2_2、mew5 molebox 2.61、2.65 morphine 2.7(支持,但效果不是很好) MKFpack 1 Mpress UnKown Mucki 1 neolite 2 NCPH 1 nsapck 2.3、2.4、3.1 Obsidium 1.0.0.69、1.1.1.4(For ALL 支持,但效果不是很好) Packman UnKown PCShrink 0.71 PC-Guard v5.0、4.06c PE Cryptor 1.5 PEBundle 2.3、2.44、3.0、3.2 PE-Armor 0.46、0.49、0.75、0.765 PECompact 1.x PEDiminisher 0.1 PELock 1.06 PEncrypt 4 pepack 0.99、1.0 PELockNt 2.01、2.03、2.04 PEtite 1.2、1.3、1.4、2.2、2.3 PKlite32 1.1 PolyCryptA UnKown peshield 0.2b2(支持,但效果不是很好) PESpin 0.3(支持,但效果不是很好)、0.7、1.1、1.3 PEX 0.99 PolyCrypt PE 1.42 PUNiSHER 1.5(支持,但效果不是很好) RLPack 1.1、1.21,1.6、1.7、1.8 Rubbish 2 ShrinkWrap 1.4 SDProtector 1.12、1.16 SLVc0deprotector 0.61(支持,但效果不是很好)、1.12 SimplePack 1.0、1.1、1.2 SoftSentry 3.0(支持,但效果不是很好) Stealth PE 1.01、2.1 Stone's PE Encryptor 1.13 SVKP 1.11、1.32、1.43 ThemidaDemo 1.0.0.5 teLock 0.42、0.51、0.60、0.70、0.71、0.80、0.85、0.90、0.92、0.95、0.96、0.98、0.99 Upc All Upack "0.1、0.11、0.12、0.20、0.21、0.22、0.23、0.24、0.25、0.26、0.27、0.29、 0.30、0.31、0.32、0.33、0.34、0.35、0.36、0.37、0.38、0.39、0.399" UPolyX 0.2、0.5 UPX "0.51、0.60、0.61、0.62、0.71、0.72、0.80、0.81、0.82、0.83、0.84、0.896、 1.0w、1.03、1.04、1.25w、2.0w、2.02、2.03、3.03、UPX-Scrambler RC1.x" V2Packer 0.02 VisualProtect 2.57 Vprotector 1.2 WindCrypt 1.0 wwpack32 v1.20、v1.11、v1.12 WinKript 1 yoda's cryptor v1.1、v1.2 YZPACK 2.0 yoda's Protector v1.02v1.03.2、v1.03.3、v1.0b
OFDM技术的优缺点分析之令狐文艳创作.docx
07-01
OFDM技术的优缺点分析之令狐文艳创作.docxOFDM技术的优缺点分析之令狐文艳创作.docxOFDM技术的优缺点分析之令狐文艳创作.docxOFDM技术的优缺点分析之令狐文艳创作.docxOFDM技术的优缺点分析之令狐文艳创作.docxOFDM...
一年级口算题卡(表格可直接A4打印)之令狐文艳创作.pdf
11-01
一年级口算题卡(表格可直接A4打印)之令狐文艳创作.pdf
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 300
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 1011
Linux 基本指令
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
最新发布
weixin_44131922的博客
04-30 423
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值