- 帖子
- 270
- 积分
- 733
- 威望
- 1168
- 金钱
- 874
- 在线时间
- 2 小时
|
[讨论]最新机器狗破解
议题作者:光芒果
前几天别人给我一份破所有还原的下载者,想把里面的下载地址改成自己的。
这个下载者用WinUpack 0.39 final压过,脱后修复了资源,在资源里看到一个HOOK用的DLL,一个
Downloader的exe,一个Kill杀软的exe,一个破还原的驱动SYS。
程序工作时先从自身释放所有资源,还会感染系统文件explorer.exe,winhlp32.exe,感染时
会在explorer.exe,winhlp32.exe的头部添加一个空间,用来写原来资源里Downloader的
内容。然后读取下载者自身(不在资源那块)的一个明文的下载地址,这个地址好改。
但重启后是被感染的explorer.exe起作用,而这个被感染的文件是读取Downloader(也就是原下载者的
资源部分那个Downloader)里面的下载地址,(也就是说原来下载者有两个放下载地址的地方,一个是
重启前读取的,另一个是重启后读取的。)
问题是资源里的Downloader也是经过WinUpack 0.39 final压过的,要改里面的地址必须要脱壳,
而脱壳后肯定会增大,脱壳后的Downloader可以正常运行,但导入原下载者后运行直接蓝屏。
到底感染的时候出的问题 还是原程序在读取SYS驱动(驱动文件排在Downloader之后)的时候出的问题?
怎么解决?
如分析有需要可以找我要样本Q:89739102 |
|