神奇的无壳易游POST补码问题
分析过程中文搜索找到 POST后补码后无法进入
求大大们指点
软件地址:https://www.lanzouw.com/i3qs3mh
哈勃分析:
基本信息
文件名称:无壳易游.exe
MD5:446067a9f786f96d18717a132e23f996
文件类型:EXE
上传时间:2019-04-11 21:43:39
出品公司:N/A
版本:1.0.0.0---1.0.0.0
壳或编译器信息:COMPILER:Microsoft Visual C++ 6.0
关键行为
行为描述:跨进程写入数据
详情信息:TargetProcess = C:\WINDOWS\system32\cmd.exe, WriteAddress = 0x00400000, Size = 0x00001000 TargetPID = 0x000009a8TargetProcess = C:\WINDOWS\system32\cmd.exe, WriteAddress = 0x00401000, Size = 0x0005b000 TargetPID = 0x000009a8TargetProcess = C:\WINDOWS\system32\cmd.exe, WriteAddress = 0x0045c000, Size = 0x000cf000 TargetPID = 0x000009a8TargetProcess = C:\WINDOWS\system32\cmd.exe, WriteAddress = 0x0052b000, Size = 0x000a2000 TargetPID = 0x000009a8TargetProcess = C:\WINDOWS\system32\cmd.exe, WriteAddress = 0x005f2000, Size = 0x00003000 TargetPID = 0x000009a8TargetProcess = C:\WINDOWS\system32\cmd.exe, WriteAddress = 0x7ffda008, Size = 0x00000004 TargetPID = 0x000009a8
行为描述:设置线程上下文
详情信息:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
暴力补码不行,他提示失败,说明第一次是获取版本,或者其他信息,所以他提示你失败,因为校验不对。 laoluo791 发表于 2019-4-11 22:57
暴力补码不行,他提示失败,说明第一次是获取版本,或者其他信息,所以他提示你失败,因为校验不对。
求大大指点 SRSniffer.exe监控动作,山寨IIS+本地爆!小白表示只是思路! 0026F4E8|0026F504
0026F4EC|00000001
0026F4F0|0026F500
0026F4F4|00A4D6F0ASCII "https://w.eydata.net/57f25993c02ccc7a"
0026F4F8|00A519E8
0026F4FC|00A4C2D8ASCII "SingleCode=sssssssss&Ver=1104&Mac=FF37DCA8714BEF2610D45AACDE739C02"
0026F500|00A4C2D8ASCII "SingleCode=sssssssss&Ver=1104&Mac=FF37DCA8714BEF2610D45AACDE739C02"
0026F504|00A4D6F0ASCII "https://w.eydata.net/57f25993c02ccc7a"
0026F508]0026F54C
0026F50C|00405CB9返回到 cmd.00405CB9 来自 cmd.0040CE12
0026F510|0026F538
0026F514|005C56D0cmd.005C56D0
0026F518|0026F534
weikun444 发表于 2019-4-12 08:19
SRSniffer.exe监控动作,山寨IIS+本地爆!小白表示只是思路!
srs抓不到数据全是乱码 weikun444 发表于 2019-4-12 08:19
SRSniffer.exe监控动作,山寨IIS+本地爆!小白表示只是思路!
貌似是黑月编译,运行后是进程是cmd运行 那就内存里找字符串 山寨
RE: 神奇的无壳易游POST补码问题
push 大法不知道有功能没push 不知道有功能不
页:
[1]
2