我正在尝试分析一种恶意软件,找到OEP后,我在转储进程时遇到了麻烦。 “,我通过使用LordPE中的intellidump引擎进行搜索并解决了该问题。尽管这会产生一个exe,但该文件没有图标。我也尝试使用OllyDump并得到错误:“无法读取调试进程的内存...”。我试图通过在Olly中修改内存段,将它们的访问权限设置为“完全访问”来解决此问题,但是仍然遇到相同的错误。我有时会因类似的要领而出现另一个错误。

我猜这里正在进行某种内存保护,但实际上不知道下一步该怎么做。任何帮助将不胜感激。

#1 楼

尝试IczDump -通过将其自身作为DLL注入目标进程并从进程本身内部转储目标进程的内存来工作。

评论


IczDump似乎正在运行该程序,但是当恶意软件删除自身后,它也会退出

–詹姆斯
2013年4月17日20:13在

是否需要删除自己的分支才能修补?

– amccormack
13年4月18日在3:13

您可以尝试自己钩住删除部分,或为此使用现成的工具,例如Flypaper

–天使
13年4月18日在9:04

#2 楼

我不确定您会遇到多少麻烦,但是我建议您使用DumpIt之类的东西进行完整的内存转储,并使用Volatitlitys的“ procmemdump”命令拉动运行的进程。

#3 楼

缺少图标仅仅是由于解压缩的可执行文件没有正确的资源DataDirectory。

转储的可执行文件是否实际运行(在调试器下)?尝试QuickUnpack或每个反向器的Deroko的梦想。

评论


它确实可以运行,并且绝对看上去没有包装(在IDA中),但是它似乎很快退出了。有什么办法可以修复图标(出于好奇)?

–詹姆斯
13年4月17日在20:05

上面可能还不清楚。它在IDA中运行,但在实际执行之前将退出。当运行原始exe时,恶意软件自行安装并开始运行。

–詹姆斯
13年4月17日在20:14

它有可能检测到它已经解压缩,然后存在。修复图标只是查找资源DataDirectory(如果它仍存在于内存中)并将其修复在PE Header中。

–天使
13年4月18日在9:03

嗯,看一下IDA中的图表,看来退出和执行其余部分之间的分歧来自于BL的比较。问题是ebx较早被清零了,我看不到任何将其设置为0以外的值的东西。可以在中断或其他内容中设置它吗?

–詹姆斯
13年4月18日在13:33

看起来在EntryPoint上,EBX始终指向一些有效地址,例如7EFXX000。因此,如果打包程序正在更改它,这是打包代码检查是否已解压缩的一种简便方法。

–天使
13年4月18日在13:42