带病毒的OD修复和插件配置

本教程分为6个部分

0、OD入口点的常见原因；

1、情况分析；

2、病毒二次清除；

3、配置OD；

4、配置StrongOD 0.48插件；

5、x32Dbg脱壳UPX样本；

0、OD入口点的常见原因

入口点不一样：

1、删除所有*.udd、或者*.bak、或者udd目录下的所有调试文件；

2、删除所有硬件断点、软件断点；

3、查看进程是否被其他程序占用，尝试拷贝另一份待调试程序，并重命名；

4、OD的插件问题，最好有两个反调试插件就行了，StrongOD 0.48、SharpOD 0.6d；不推荐使用ScyllaHide或者Ph0m插件；

5、OD的“异常设置问题”；

6、病毒；

1、情况分析；

常规OD带有时间标识，并且一般情况下没有附加数据，文件大小在1+MB左右。

留意这个样本，软件描述是被感染病毒后附加上去的，没有时间标识，文件大小也可疑；

2、病毒二次清除；

1)提取源文件；

1.1)用ExeInfoPe提取：

        第一次提取后，显示时间标识，文件大小也正常了；

        尝试再次提取：仍然有一个附加dll，正常OD是没有的。

2)手动删除附加文件；

        用winhex手动删除这个dll；

3、配置OD；

1)创建UDD文件夹、创建plugin文件夹；

2)删除原有ini文件；

3)运行快捷配置；

4、配置StrongOD 0.48插件；

留意这几项就行了

5、x32Dbg脱壳UPX样本；

ESP定律法到达OEP，Scylla 0.98 dump+修复；