Morphine 1.2 - 1.3 -> rootkit的壳怎么脱?
我手头的病毒脱了外壳后还显示有这个壳:Morphine 1.2 - 1.3 -> rootkit
我在论坛搜索到一点Morphine的资料,不过和我用OD载和诉结果完全不一样,我这个用OD载入后头如下:
00402715 >E8 F9FBFFFF call 00402313 <-OD载入后停在这
0040271A E8 C6EFFFFF call 004016E5
0040271F E8 4FF5FFFF call 00401C73
00402724 E8 41FCFFFF call 0040236A
00402729 68 04010000 push 104
0040272E 6A 40 push 40
00402730 E8 A1000000 call <jmp.&KERNEL32.GlobalAlloc>
00402735 8BF0 mov esi, eax
00402737 68 04010000 push 104
0040273C 56 push esi
0040273D 6A 00 push 0
0040273F E8 74000000 call <jmp.&KERNEL32.GetModuleFileName>
00402744 56 push esi
00402745 E8 10010000 call <jmp.&KERNEL32.lstrlenA>
0040274A 50 push eax
0040274B 56 push esi
0040274C E8 31F5FFFF call 00401C82
00402751 68 F4010000 push 1F4
00402756 E8 BD000000 call <jmp.&KERNEL32.Sleep>
0040275B 33C0 xor eax, eax
0040275D C3 retn
会的朋友指点下. 现在加的壳有时也会伪装成别的壳,真是防不胜防。 傻意思?说说想法啊. 有动画,你搜索看看吧!!!!!!!!!!!!!!! 这个壳前阶段看过别人的视频教程,版本要高些的,如果真是这个壳的话什么都不会用单步走应该也可以脱的 楼主的是病毒,不敢碰 要不然我可以试试
视频下载地址:http://www.fs2you.com/zh-cn/files/2e15b5e3-3574-11dd-828f-0014221f3995/ 原帖由 傻人有傻福 于 2008-6-12 21:54 发表 https://www.chinapyg.com/images/common/back.gif
这个壳前阶段看过别人的视频教程,版本要高些的,如果真是这个壳的话什么都不会用单步走应该也可以脱的 楼主的是病毒,不敢碰 要不然我可以试试
视频下载地址:http://www.fs2you.com/zh-cn/files/2e15b5e3-3574-11 ...
我就用单步走了很久,也没找到OEP 单步跟,见CALL就进!等一个很大的跳转过后,就可以正常的单步跟了!很快就会来到OEP!
脱壳用PETOOLS!
或者,下bp VirtualAlloc
然后自己写个简单的脚本,轻松搞定! 你说的方法我懂啊,可是没有跟出来. 原帖由 冷血书生 于 2008-6-12 21:17 发表 https://www.chinapyg.com/images/common/back.gif
有动画,你搜索看看吧!!!!!!!!!!!!!!!
书生… 你说有动画!能给个地址不?楼下的地址下了 不对…
页:
[1]