这个PE文件扭曲的太厉害了,还加了壳.
MZ字符接着就是函数 后面的变异的厉害 入口点都不知道是哪...是我在我电脑上揪出来的一个木马
[attach]33406[/attach] [i=s] 本帖最后由 wobupahei 于 2010-3-8 17:35 编辑 [/i]
下载看看先……...打我PG我不乖...
EAX 0013F484 ASCII "Process32First"
ECX 7C80BECD kernel32.7C80BECD
EDX 0013F493 ASCII "st"
EBX 00404BA0 ASCII "~3~"
ESP 0013E920
EBP 00402004 4123.00402004
ESI 0013F484 ASCII "Process32First"
EDI 0013F48F ASCII "rst"
刚刚跟到获取Process32First就发现到了下班时间- -
俺上学的时候是个好学生,按时上学,上班了依然保持好习惯,下班闪人。回去再搞。 ======= 一个UPack而已,直接OD载入,警告对话框直接过,bp GetProcAddress ,F9,F2取消断点,Shift+F9,
到
stos dword ptr es:[edi]
jmp short0046F04A
retn
"retn"处F4,F8到OEP
页:
[1]