场景 应急响应中从进程发现被注入了EXE文件,通过processhacker的Memory模块dump出来注入的文件。PE修复后在IDA里反汇编查看这个恶意代码的功能是什么。 解决 LordPE 虚拟内存对齐修复 【Section Table】 每个区段的 VirtualAddress与RawOff ...
分类:
系统相关 时间:
2019-02-17 23:49:27
阅读次数:
418
源程序是这个样子: 思路: 1、通过LordPE工具拿到所需数据 2、OllyDebug通过BP MessageBoxA拿到MessageBoxA地址 3、UE十六进制编辑器定位代码节基址 4、在代码节找到一处空白区 5、写入代码对应的十六进制数据 6、Call到MessageBoxA,Call:E ...
分类:
其他好文 时间:
2018-05-30 00:25:33
阅读次数:
582
【文章标题】: 用汇编语言给XP记事本添加“自动保存”功能 【文章作者】: newjueqi 【作者邮箱】:zengjiansheng1@126.com 【作者QQ】:190678908 【使用工具】: OD, LordPE,eXeScope【操作平台】: XP-SP2【作者声明】: 本人平时一般的 ...
分类:
编程语言 时间:
2016-12-08 23:40:08
阅读次数:
354
系统 : Windows xp 程序 : 某游戏客户端 程序下载地址 :不提供 要求 : 脱去压缩壳 使用工具 : OD & PEID & LordPE & Import REC 被感染客户端中的是Ramint蠕虫病毒,感染速度非常快,危害相当大。建议在虚拟机环境下进行逆向分析。 相关资料: 本文参 ...
分类:
其他好文 时间:
2016-05-08 16:34:34
阅读次数:
171
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址:
http://download.csdn.net/detail/obuyiseng/9465972
简介:
FSG壳是一款压缩壳。
工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor
脱壳文件:05.手脱PECompact2.X壳.ra...
分类:
其他好文 时间:
2016-04-10 01:20:03
阅读次数:
354
方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口...
分类:
数据库 时间:
2015-10-11 11:26:44
阅读次数:
375
本文是按照《0day安全》一书中的实验一步步实现的,对于反汇编也有了新的认识。工具:winxp sp3虚拟机,IDA Pro 6.6,OllyDbg,UltraEditor,VC 6.0,LordPE。因为在win7下面虚拟内存有重定向的问题,不利于分析,因此在虚拟机win xp下面进行实验,win...
分类:
其他好文 时间:
2015-10-10 17:16:23
阅读次数:
335
LordPE简介一款强大的可执行文件分析辅助脱壳工具,附带16进制编辑器.不包括反汇编模块.它名字叫LordPE而不是LoadPE. 其拥有基于最小功能的PE修改方式.对于win32平台下如果不将样本拖到其中分析看看,还叫分析恶意程序吗?可见其非常常用实用....
分类:
其他好文 时间:
2015-07-24 16:11:49
阅读次数:
153
如何给系统的程序打个补丁,让它在退出的时候启动我们的程序了。这里拿XP系统的calc.exe 程序开刀。想要calc.exe能启动自己的程序 必须要有能利用的导入函数, 比如shell32.dll!ShellExecuteA用LordPE工具查看发现calc.exe没有导入表函数shell32.dl...
分类:
其他好文 时间:
2015-07-15 18:48:29
阅读次数:
275
#include
#include
#include
#include
//进程的第一个模块即为进程的 基址 (这里顺便获取进程内存映像的大小)
DWORD GetProcessBaseAndImageSize(DWORD dwPID, DWORD *dwImageSize)
{
HANDLE hModuleSnap = INVALID_HANDLE_VALUE;
MODULEEN...
分类:
系统相关 时间:
2015-06-06 20:51:03
阅读次数:
290