• 注册
  • 转载分享 转载分享 关注:99 内容:4125

    带病毒的OD修复和插件配置

  • 查看作者
  • 打赏作者
  • 当前位置: 七七博客 > 转载分享 > 正文
    • 1
    • 转载分享
    • Lv.15
      VIP1

      带病毒的OD修复和插件配置

      本教程分为6个部分

      0、OD入口点的常见原因;

      1、情况分析;

      2、病毒二次清除;

      3、配置OD;

      4、配置StrongOD 0.48插件;

      5、x32Dbg脱壳UPX样本;

      0、OD入口点的常见原因

      入口点不一样:

      1、删除所有*.udd、或者*.bak、或者udd目录下的所有调试文件;

      2、删除所有硬件断点、软件断点;

      3、查看进程是否被其他程序占用,尝试拷贝另一份待调试程序,并重命名;

      4、OD的插件问题,最好有两个反调试插件就行了,StrongOD 0.48、SharpOD 0.6d;不推荐使用ScyllaHide或者Ph0m插件;

      5、OD的“异常设置问题”;

      6、病毒;

      1、情况分析;

      常规OD带有时间标识,并且一般情况下没有附加数据,文件大小在1+MB左右。

      留意这个样本,软件描述是被感染病毒后附加上去的,没有时间标识,文件大小也可疑;

      2、病毒二次清除;

      1)提取源文件;

      1.1)用ExeInfoPe提取:

              第一次提取后,显示时间标识,文件大小也正常了;

              尝试再次提取:仍然有一个附加dll,正常OD是没有的。

      2)手动删除附加文件;

              用winhex手动删除这个dll;

      3、配置OD;

      1)创建UDD文件夹、创建plugin文件夹;

      2)删除原有ini文件;

      3)运行快捷配置;

      4、配置StrongOD 0.48插件;

      留意这几项就行了

      5、x32Dbg脱壳UPX样本;

      ESP定律法到达OEP,Scylla 0.98 dump+修复;

      隐藏内容需要回复可以看见

      回复
      Lv.2

      楼主辛苦了,谢谢楼主,楼主好人一生平安!

      回复

      请登录之后再进行评论

      登录
    • 任务系统
    • 帖子间隔 侧栏位置: