套壳程序的释放样本提取
运行环境:Win7 x64;
涉及工具:
OD 1.10、RAR、PCHunter64;
教程类型:
提取程序;
视频是否带有论坛水印:
是,视频开头前三秒有论坛水印;
是否讲解思路和原理:
否,仅演示简单操作;
是否为悬赏杀手:
是悬赏杀手,https://www.52hb.com/thread-57116-1-1.html
以下为图文内容:
套壳程序的释放样本提取
boot /52hb.com
2022.10.06
============
这个样本运行后会:
- 1.自删除本体;
- 2.自删除释放后的程序以及附加的bat文件;
所以,我们需要在程序删除前,将释放后的样本拷贝出来。
============
下断DeleteFileA、DeleteFileW;无论下什么API断点,务必牢记,在堆栈第一行跟随。
在RETN下断,单步,此时停顿了一下,观察到堆栈的可疑字符1.bat、360.exe;
另外。文件夹设置如我所示。
我们用everything尝试搜索这两个文件:
- 1.bat
start /d "C:\" 360.exe
这句命令表示,执行绝对路径下的360.exe文件
- 360.exe
这个是释放后的程序本体,可以看到默认属性是隐藏。
============
用压缩器拷贝释放后的文件。
测试运行,无误;留意到OD调试后可以直接关闭这个程序;如果非调试状态运行,则程序隐藏,无法附加,无法关闭。
简单解决方案是,PCHunter64 强制结束进程即可。
OK!
补充:运行释放后的程序本体,可能会自动更改电脑的主题配置......留意。
教程及课件下载地址:
**** Hidden Message *****
感谢分享 谢谢大佬牛逼 支持一下 ! 感谢大佬分享 感谢分享 躺平了躺平了 下载看看,不错的教程 带走试试。。。。。 学习下感谢大佬分享