我猜这里正在进行某种内存保护,但实际上不知道下一步该怎么做。任何帮助将不胜感激。
#1 楼
尝试IczDump -通过将其自身作为DLL注入目标进程并从进程本身内部转储目标进程的内存来工作。#2 楼
我不确定您会遇到多少麻烦,但是我建议您使用DumpIt之类的东西进行完整的内存转储,并使用Volatitlitys的“ procmemdump”命令拉动运行的进程。#3 楼
缺少图标仅仅是由于解压缩的可执行文件没有正确的资源DataDirectory。转储的可执行文件是否实际运行(在调试器下)?尝试QuickUnpack或每个反向器的Deroko的梦想。
评论
它确实可以运行,并且绝对看上去没有包装(在IDA中),但是它似乎很快退出了。有什么办法可以修复图标(出于好奇)?
–詹姆斯
13年4月17日在20:05
上面可能还不清楚。它在IDA中运行,但在实际执行之前将退出。当运行原始exe时,恶意软件自行安装并开始运行。
–詹姆斯
13年4月17日在20:14
它有可能检测到它已经解压缩,然后存在。修复图标只是查找资源DataDirectory(如果它仍存在于内存中)并将其修复在PE Header中。
–天使
13年4月18日在9:03
嗯,看一下IDA中的图表,看来退出和执行其余部分之间的分歧来自于BL的比较。问题是ebx较早被清零了,我看不到任何将其设置为0以外的值的东西。可以在中断或其他内容中设置它吗?
–詹姆斯
13年4月18日在13:33
看起来在EntryPoint上,EBX始终指向一些有效地址,例如7EFXX000。因此,如果打包程序正在更改它,这是打包代码检查是否已解压缩的一种简便方法。
–天使
13年4月18日在13:42
评论
IczDump似乎正在运行该程序,但是当恶意软件删除自身后,它也会退出
–詹姆斯
2013年4月17日20:13在
是否需要删除自己的分支才能修补?
– amccormack
13年4月18日在3:13
您可以尝试自己钩住删除部分,或为此使用现成的工具,例如Flypaper
–天使
13年4月18日在9:04