一个病毒的脱壳及修复

最新推荐文章于 2024-10-25 16:30:27 发布
原创 最新推荐文章于 2024-10-25 16:30:27 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#病毒 #脱壳 #修复 #OD #.net

本文详细介绍了如何处理一个使用.NET加壳技术的流行病毒,包括识别其脱壳后的中间体,分析病毒如何绕过API断点,并提供了一种修复Import Address Table(IAT)的方法。通过在内存中修补壳代码,使得病毒行为变得可追溯。最后,通过创建新的PE节和使用特定工具修复DUMP文件,使其能在IDA中进行进一步分析。此病毒的.NET壳能有效规避部分安全软件的检测。

 这是一个最近比较流行的使用.net加壳的病毒脱去.net壳后的一个中间体。脱壳和修复 过程不是很复杂,但还是需要一些小技巧。

    未脱壳的代码如下图所示:


wKioL1RcKGKRutCoAAF1CM64txo111.jpg

401535前面都是壳代码,从call eax进入到实际代码运行,从7ff8165c开始,但是实际代码运行后下api断点都断不来

wKiom1RcJ_2hbFNFAAHEoWib67Y787.jpg

7ff8166b这个调用跟进去,发现它指向了一个mov edi,edi,然后跟转到kernel32中去

wKioL1RcKGLDNPaYAACI8M0HVMs336.jpg

最低0.47元/天 解锁文章
学个锤子 | .Net零基础逆向教程 第三课(壳与作业)
biyusr的专栏
07-28 1393
注上面在我遇到过的几个类型的壳里加了备注,即遇到最新版的对应壳时,de4dot是无法脱壳的,需要手动脱壳(复杂情况需要自己动手编写脱壳机)。今天用到的工具是我写的,内容很简单,就是一个注册工具,用户名与注册码不匹配就会注册失败,如果匹配就会成功。既然是新手,既然是菜鸟,就要利用工具的便利,手动脱壳确实需要学习,但不是现在,现在最重要的是“兴趣”!加壳是为了增加逆向的难度,在不影响软件运行的情况下,混淆代码逻辑,降低了代码可读性。先知道了壳是怎么回事,知道有壳与无壳的区别后,慢慢的深入手动脱壳......
病毒分析-ollydbg脱壳的步骤和原理
Alsn86的博客
10-25 891
启动OllyDbg,将需要脱壳的可执行文件加载到调试器中。OllyDbg会加载程序并停在程序的入口点(EP),但此时通常不是原始入口点(OEP)。
.net C#反编译及脱壳常用工具--小结
Blue
04-06 1万+
.net C#反编译及脱壳常用工具--小结
CTB-LOCKER敲诈者病毒下载器脱壳之样本1
Fly20141201. 的专栏
05-06 2982
一、病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如下的提示画面(图1)以及桌面壁纸被修改(图2)所示。
手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 2321
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
常见病毒专杀工具汇总及MBR修复方案
从压缩包中的子文件名来看,“MbrDrvKiller.exe”应该是一个专门用于清除MBR区域病毒的可执行程序,可能具备驱动级操作权限,能够直接访问硬盘底层数据。“BeepMBR64.sys”和“BeepMBR.sys”则很可能是驱动文件,...
特别好用的UPX脱壳工具
07-20
在标签中提到的“脱壳”是一个关键概念。脱壳是逆向工程中的术语,指的是移除软件上的保护层,如压缩壳、加密壳或者混淆壳等。UPX壳是一种常见的文件压缩技术,它将原始的可执行文件数据压缩后替换,当程序运行时,...
Zprotect脱壳.rar
05-22
解壳是逆向分析的第一步,因为许多病毒、木马或黑客工具都会使用各种壳技术来混淆代码,防止被轻易分析。 此次更新的亮点在于对BC++程序的支持。BC++,全称Borland C++,是一种早期流行的C++编译器,由于其编译出的...
病毒加壳技术与脱壳技术
B_H_L的专栏
10-16 4974
由于大量的杀毒软件的出现,以及杀毒软件病毒库的不断壮大,病毒被查杀的几率也越来越大。所以有些病毒就开始通过加壳的方法来伪装自己,企图骗过杀毒软件,蒙混过关。为了做好病毒防御,我们就该了解什么是加壳?加壳的对立面是不是脱壳?如何脱壳等?    一 什么是壳:    计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任
De4Dot,3.0.3版本
06-19
De4Dot是一个很强的.Net程序脱壳,反混淆工具。它可以帮助开发者快速地反混淆.NET程序集,使得程序代码更容易读懂。支持对于以下工具混淆过的代码的清理:如 Xenocode、.NET Reactor、MaxtoCode、Eazfuscator.NET、Agile.NET、Phoenix Protector、Manco Obfuscator 、CodeWall、NetZ .NET Packer 、Rpx .NET Packer、Mpress .NET Packer、ExePack .NET Packer、Sixxpack .NET Packer、Rummage Obfuscator、Obfusasm Obfuscator、Confuser 1.7、Agile.NET、Babel.NET、CodeFort、CodeVeil、CodeWall、CryptoObfuscator、DeepSea Obfuscator、Dotfuscator、 Goliath.NET、ILProtector、MPRESS、Rummage、SmartAssembly、Skater.NET、Spices.Net
.net脱壳工具
07-16
.net脱壳工具,对于加密加壳的.net程序,通过此工具可以脱壳,然后反编译进行查看。
NET脱壳工具 DLL、exe文件
04-15
NET脱壳工具 DLL、exe文件,net语言万能脱壳工具,大多数混淆代码都可以脱出1 NET脱壳工具 DLL、exe文件,net语言万能脱壳工具,大多数混淆代码都可以脱出1
病毒分析-手动脱壳和自动脱壳工具
最新发布
Alsn86的博客
10-25 450
手动脱壳和自动脱壳工具是软件逆向工程及病毒分析中常用的技术手段,用于去除软件或病毒文件中的壳代码,以便分析其核心代码或行为。
简单脱壳教程笔记
A powerful and unconstrained style
08-18 9998
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
介绍下加壳、脱壳以及如何病毒免杀技术与原理
weixin_33724570的博客
11-17 1142
2019独角兽企业重金招聘Python工程师标准>>> ...
加壳脱壳(转)
LG的专栏
03-31 1245
 加壳脱壳 新手必看 初学者必须掌握原理 (综合定义) 壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“壳”的世界吧。 一、金蝉脱壳的故事 我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是:寒蝉在蜕变时,本体脱离皮壳而
[分享].Net脱壳利器de4dot介绍
热门推荐
扶强的专栏
08-03 1万+
De4Dot是一个很强的.Net程序脱壳,反混淆工具,支持对于以下工具混淆过的代码的清理:如 Xenocode、.NET Reactor、MaxtoCode、Eazfuscator.NET、Agile.NET、Phoenix Protector、Manco Obfuscator 、CodeWall、NetZ .NET Packer 、Rpx .NET Packer、Mpress .NET Packer、ExePack .NET Packer、Sixxpack .NET Packer、Rummage Obfu
.net 脱壳及编译
weixin_53370274的博客
07-06 853
de4dot ilspy dnspy de4dot -r exedir -ro destdir
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值