Assembly 解包软件进行分析
有没有人试过为radmin分析二进制文件。。 我只是想分析一下,以获得亲身体验。我发现它是以某种方式打包或加密的。我的意思是,其中有一些调用有getprocaddress、loadlibrary和virtualalloc的导入..IDA识别不了太多..processexplorer以紫色显示流程..但是所有的部分都在那里 在调试radmin过程中,我还看到了其他一些东西,如:- 使ollydbg崩溃,生成异常并被终止,在调试器中被终止,当我关闭连接的调试器时,该进程保持活动状态并正常工作..完全奇怪 谁能建议我该怎么做Assembly 解包软件进行分析,assembly,reverse-engineering,Assembly,Reverse Engineering,有没有人试过为radmin分析二进制文件。。 我只是想分析一下,以获得亲身体验。我发现它是以某种方式打包或加密的。我的意思是,其中有一些调用有getprocaddress、loadlibrary和virtualalloc的导入..IDA识别不了太多..processexplorer以紫色显示流程..但是所有的部分都在那里 在调试radmin过程中,我还看到了其他一些东西,如:- 使ollydbg崩溃,生成异常并被终止,在调试器中被终止,当我关闭连接的调试器时,该进程保持活动状态并正常工作..完全
谢谢您是否尝试过找出图像被哪个模糊器扰乱了?你可以试试看 谢谢你的回复。。但PEID显示它作为Visual C++编译器…但我很确定它的包装或加密……BTW没有自动检测工具能够告诉它包装基于签名检测…所以我猜是专有包装或加密…只是尝试了它在PEStudio()上。图像被明确加密(4个部分-.Sec0->.Sec3)是RWE。“H.J.Lu-PATCH”似乎与这些部分有关。对不起,没有让你在那里?“H.J.LU-PATCH”是一个打包机还是加密机..什么是RWE..对不起,我是一个初学者:)我用谷歌找到了“H.J.LU-PATCH:-)。似乎是个包装工。RWE实际上代表RWE(读写执行)。可执行和可写的部分是模糊检测的第一候选部分。