Morphine 1.2 - 1.3 -> rootkit的壳怎么脱?

kgdiwss

我手头的病毒脱了外壳后还显示有这个壳:
Morphine 1.2 - 1.3 -> rootkit
我在论坛搜索到一点Morphine的资料,不过和我用OD载和诉结果完全不一样,我这个用OD载入后头如下:

00402715 >  E8 F9FBFFFF     call    00402313    <-OD载入后停在这
0040271A    E8 C6EFFFFF     call    004016E5
0040271F    E8 4FF5FFFF     call    00401C73
00402724    E8 41FCFFFF     call    0040236A
00402729    68 04010000     push    104
0040272E    6A 40           push    40
00402730    E8 A1000000     call    <jmp.&KERNEL32.GlobalAlloc>
00402735    8BF0            mov     esi, eax
00402737    68 04010000     push    104
0040273C    56              push    esi
0040273D    6A 00           push    0
0040273F    E8 74000000     call    <jmp.&KERNEL32.GetModuleFileName>
00402744    56              push    esi
00402745    E8 10010000     call    <jmp.&KERNEL32.lstrlenA>
0040274A    50              push    eax
0040274B    56              push    esi
0040274C    E8 31F5FFFF     call    00401C82
00402751    68 F4010000     push    1F4
00402756    E8 BD000000     call    <jmp.&KERNEL32.Sleep>
0040275B    33C0            xor     eax, eax
0040275D    C3              retn

会的朋友指点下.

yunfeng

现在加的壳有时也会伪装成别的壳，真是防不胜防。

kgdiwss

傻意思?说说想法啊.

冷血书生

有动画,你搜索看看吧!!!!!!!!!!!!!!!

傻人有傻福

这个壳前阶段看过别人的视频教程，版本要高些的，如果真是这个壳的话什么都不会用单步走应该也可以脱的 楼主的是病毒，不敢碰 要不然我可以试试
视频下载地址：http://www.fs2you.com/zh-cn/file ... -828f-0014221f3995/

kgdiwss

原帖由 傻人有傻福 于 2008-6-12 21:54 发表
这个壳前阶段看过别人的视频教程，版本要高些的，如果真是这个壳的话什么都不会用单步走应该也可以脱的 楼主的是病毒，不敢碰 要不然我可以试试
视频下载地址：http://www.fs2you.com/zh-cn/files/2e15b5e3-3574-11 ...

我就用单步走了很久,也没找到OEP

ximo2006

单步跟,见CALL就进!等一个很大的跳转过后,就可以正常的单步跟了!很快就会来到OEP!
脱壳用PETOOLS!
或者,下bp VirtualAlloc
然后自己写个简单的脚本,轻松搞定!

kgdiwss

你说的方法我懂啊,可是没有跟出来.

mysky58

原帖由 冷血书生 于 2008-6-12 21:17 发表
有动画,你搜索看看吧!!!!!!!!!!!!!!!

  书生… 你说有动画！能给个地址不？楼下的地址下了 不对…