本文详细探讨了一款锁机软件的分析过程,包括在哈勃分析系统中的表现、对虚拟机的影响以及使用各种工具进行静态和动态分析。作者提到程序可能采用了易语言编写,并可能通过特征码免杀、二次编译等手段规避杀毒软件的检测。尽管工具显示入口点有误,但并未发现明显的加壳或加密。分析指出,该程序可能通过修改特征码以逃避特定杀软的检测,同时讨论了二次编译在免杀中的作用。
锁机软件,火绒竟然没有报毒,还是易程序
先来看下病毒的效果,放进哈勃是这样的
可自行查看
接下来我们开下虚拟机试试
嗯…蓝屏了,看不懂是什么意思
根据哈勃的报道我们可以知道它可以检测虚拟机
而且我之前也亲自打开过,电脑确实被锁了
紧下来分析一下这个程序
放进Restorator.exe看一下是否加了强壳
再放进FFI_CN.exe里面看看
属于易语言的特征
链接器也是6.0那就不是用了特殊的编译方式或切换编译器编写
(因为易语言默认链接器为6.0)
没有提示,且文件结构也是易程序的结构(应该是没有加密或加壳)
没换资源
从这里我们可以知道这个程序的入口点是0005D425
接下来我们放进c32m里面看看(od是动态反汇编我怕操作不当把自己锁了)
挺尴尬得跳转失败,那我开影子系统再用od调式一下看看
一般od载入后第一个push所在的地址就是入口点然而不是我们用工具获得的
(难道是我得工具坏了,好尴尬啊,那个工具所判断得入口点是错误得)
看了下,没有添加花指令
那么可能是 特征码免杀 输入表免杀 源码免杀 2次编译(目前我所知得)
现在大部分杀软都是复合定位特征码来判断得,所以有些特征码改了会导致程序无法正常运行(操作不当得话)总之比较复杂些,而且 特征码免杀 往往是针对一个杀软得。
FFI_CN.exe既然有bug那么我们导入到die继续看
(我懂得不是特别多,操作有误请大佬见谅,并指出,谢谢教会)
这是病毒得(上图)
这是正常得易语言程序(不报毒)的信息,连接程序不大一样。
可能换了编译器吧或者是2次编译
二次编译是指先将源代码文件通过编译器编译成托管代码(中间代码MSIL和元数据),再编译为本地代码的过程。(来自网络)
可能是2次编译
有大佬可以说一下这个病毒是怎么过杀得吗
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
