VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 175|回复: 4

PE文件逆向分析--[5]sality 清除浅谈

[复制链接]
51_avatar_middle
online_admins 发表于 2019-1-4 17:35:57 | 显示全部楼层 |阅读模式
0、回顾
        用HASH表示文件名的好处:MD5.crc32(锁定文件一致性)
        花指令一般跳过方法:Rten
        CreateThread分析方法:ThreadFunc
        跳过循环代码块
        Jmp EXX(暗含玄机)
        多加练习

1、如何快速分析
        http://tools.pediy.com/windows/spy.htm(监控工具)
       
2、类的设计
        CHandleFile、CHandleProc、CHandleReg、CHandleServ

3、sality清除程序的瑕疵
        CreateFileMapping(INVALID_HANDLE_VALUE, ...)     0x10000 - 0x20000  sleep(xxx);   Thread1  Thread2  Thread3
        共享之间的修改
       
4、提供FileCombine.exe合并文件

5、作业:判定程序的编译环境(PE文件解析类)


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
教程在线观看地址:
https://www.bilibili.com/video/av39773777/?p=5
MP4高清视频下载地址:链接:https://pan.baidu.com/s/1e0z1gmHtI1cHWODfG0YvpQ 提取码:t338
课件+源码下载(回复后可见):
游客,如果您要查看本帖隐藏内容请回复

备注:VIP会员可免费下载本站所有资源(点击查看)
提示:通过购买VC驿站U盘打包(点击查看)也可加入终身Vip会员^_^




上一篇:PE文件逆向分析--[4]sality分析浅谈,花指令等
下一篇:PE文件逆向分析--[6]总结:攻与防
10_avatar_middle
在线会员 发表于 2019-1-7 12:39:30 | 显示全部楼层
老大V587,支持。强烈推荐。
22_avatar_middle
在线会员 发表于 2019-1-11 20:46:50 | 显示全部楼层
PE文件逆向分析--[5]sality 清除浅谈PE文件逆向分析--[5]sality 清除浅谈PE文件逆向分析--[5]sality 清除浅谈
77_avatar_middle
在线会员 发表于 昨天 11:14 | 显示全部楼层
学习下、。。。。
61_avatar_middle
在线会员 发表于 昨天 23:54 | 显示全部楼层
360就只会删除,以前的瑞星, 能清除病毒
您需要登录后才可以回帖 登录 | 加入驿站 qq_login

本版积分规则

关闭

站长提醒上一条 /2 下一条

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号tongdun|网站地图wx_jqr

GMT+8, 2019-1-23 01:35

Powered by Discuz! X3.4

© 2009-2019 cctry.com

快速回复 返回顶部 返回列表