|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
19.10.2015, 13:42 | #11 |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Это может быть все что угодно )
Нужно анализировать саму ПО.
I'm learning to live...
|
16.12.2015, 00:10 | #12 |
xor esp, esp
Форумчанин
Регистрация: 11.02.2014
Сообщений: 135
|
Да е-мае, берешь отладчик, смотришь где внутри хранит малварь, забиваешь это место нулями и юзаешь прогу.
P.S. Сорри за некропост, раздел все равно неактивен нифига |
16.12.2015, 13:44 | #13 | |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
I'm learning to live...
|
|
16.12.2015, 14:00 | #14 |
xor esp, esp
Форумчанин
Регистрация: 11.02.2014
Сообщений: 135
|
Ну, чтобы исполнить код малвари для начало надо получить доступ к памяти, где она хранится. Если там склейка, то есть два варианта:
1) Загрузка происходит из памяти в память 2) Происходит извлечение файла на жесткий диск и старт процесса Судя по логам тут именно 2-й вариант, хотя внимательно не смотрел. А значит ставим бряк на NtCreateProcess и ShellExecute/ShellExecuteEx, далее там просматриваем код и ищем где в памяти малварь. По другому никак не расклеить же. Или как вариант занопить вызовы этих функций P.S. Если прога на .NET, то, вероятно, искать место хранения файла надо как-то по другому. P.P.S. Если склейка нубская, то поищи по сигнатуре MZ в HEX-редакторе P.P.P.S. Если файл заражен просто, то ищем OEP и ставим EntryPoint на этот OEP |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Скопировать id с одной таблицы на другую таблицу другую форму | Staziah2 | БД в Delphi | 1 | 08.09.2015 09:14 |
UNICODE_STRING и прочая нечисть | Fedor666 | Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM | 6 | 22.11.2011 05:57 |
BackDoor administration | doniyor | Работа с сетью в Delphi | 5 | 04.04.2010 11:59 |
BackDoor для windows | Iater | Общие вопросы C/C++ | 1 | 14.12.2009 01:39 |
BackDoor для windows | Iater | Помощь студентам | 1 | 13.12.2009 16:58 |