带病毒OD的修复和插件配置
运行环境:Win7 x64
涉及工具:
OD 1.10、Exeinfope、WinHex、Peid
教程类型:
修复OD,剔除病毒
视频是否带有论坛水印:
是
是否讲解思路和原理:
否,仅演示简单操作
是否为悬赏杀手:
是悬赏杀手,https://www.52hb.com/thread-56934-1-1.html
以下为图文内容:
带病毒OD的修复和插件配置
2022.09.09
boot |吾爱汇编论坛|
============
注意:样本带有病毒,禁止直接打开!
============
本教程分为6个部分:
0、OD入口点的常见原因;
1、情况分析;
2、病毒二次清除;
3、配置OD;
4、配置StrongOD 0.48插件;
5、x32Dbg脱壳UPX样本;
============
0、OD入口点的常见原因;
入口点不一样:
1、删除所有*.udd、或者*.bak、或者udd目录下的所有调试文件;
2、删除所有硬件断点、软件断点;
3、查看进程是否被其他程序占用,尝试拷贝另一份待调试程序,并重命名;
4、OD的插件问题,最好有两个反调试插件就行了,StrongOD 0.48、SharpOD 0.6d;不推荐使用ScyllaHide或者Ph0m插件;
5、OD的“异常设置问题”;
6、病毒;
============
1、情况分析;
常规OD带有时间标识,并且一般情况下没有附加数据,文件大小在1+MB左右。
留意这个样本,软件描述是被感染病毒后附加上去的,没有时间标识,文件大小也可疑;
============
2、病毒二次清除;
1)提取源文件;
1.1)用ExeInfoPe提取:
第一次提取后,显示时间标识,文件大小也正常了;
尝试再次提取:仍然有一个附加dll,正常OD是没有的。
2)手动删除附加文件;
用winhex手动删除这个dll;
============
3、配置OD;
1)创建UDD文件夹、创建plugin文件夹;
2)删除原有ini文件;
3)运行快捷配置;
============
4、配置StrongOD 0.48插件;
留意这几项就行了
============
5、x32Dbg脱壳UPX样本;
ESP定律法到达OEP,Scylla 0.98 dump+修复;
ok
教程下载:
**** Hidden Message *****
有心了省点力吧 谢谢分享! 感谢分享
谢谢分享!!!!!!!!!!! 感谢你的分享 感谢楼主分享 谢谢 谢谢分享 感谢分享,学习 有心了省点力