分析助手生成的报告,格式为:
建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除
d:\program files\rising\rav\ravtask.exe
2.删除重启后使用SREng修复下面各项:
**************以上分析报告由SREngLog分析助手提供******************
分析:zapline
时间:2009/7/8
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)
这一句貌似对求助者没有用,不如改成分析者的邮箱。
下面开始修改
对SREngLog分析助手用PEID查壳为:UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
脱壳:
OD载入,输入命令:hr esp , F9运行
005566AF 8D4424 80 lea eax, dword ptr [esp-80]
005566B3 6A 00 push 0
005566B5 39C4 cmp esp, eax
005566B7 ^ 75 FA jnz short 005566B3
005566B9 83EC 80 sub esp, -80
005566BC - E9 DBEAF3FF jmp 0049519C
按下005566BC 行,F4运行到该行
F8单步一次到达OEP,插件OLLYDUMP直接脱壳
修改:
OD载入脱壳后的分析助手,插件-ultra string reference-find ascii
找到Ultra String Reference, item 489
Address=0049288A
Disassembly=mov edx, 00492B5C
Text String=srenglog分析助手 1.4 by 草莽书生 (20090209 更新 by 小金)
双击跟过去
0049288A BA 5C2B4900 mov edx, 00492B5C ; srenglog分析助手 1.4 by 草莽书生 (20090209 更新 by 小金)
在内存窗口按ctrl+g,输入00492b5c,定位到字符串
选取字符串,按ctrl+e进行编辑
修改,多余部分用00填充
然后,选定修改了的部分,右键-复制到可执行文件 右键-保存文件
至此修改结束
效果:
建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除
\??\c:\windows\system32\winlogon.exe
2.删除重启后使用SREng修复下面各项:
**************以上分析报告由SREngLog分析助手提供******************
分析:zapline
时间:2009/7/8
联系email:278998871@qq.com
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 3.5.21022; MAXTHON 2.0)