下载文件后,file命令看一下是ELF32程序,strings命令发现程序被UPX加壳了。upx-dsnake-final.exe脱壳后扔到IDA里面分析,主函数发现调用signal注册了若干个回调函数:特别是几个38h、32h、34h、36h。实际上是定义了4个控制贪吃蛇行动的游戏按键。但显然就这个程序,按对应的键..
分类:
其他好文 时间:
2014-12-14 07:13:06
阅读次数:
279
直接搜索文件中的 UPX! 字样 ,然后填充00 搞定? ? 不过对于这种文件还是可以修改 upx 的源代码强制解压,目前Linux上还没看到内存中 dump ?elf 文件的例子 ? 写了个小脚本? <?php
if($argc?<?2)
{
??...
分类:
其他好文 时间:
2014-11-04 13:21:07
阅读次数:
226
今天在修改文档的同时,协助同事处理了两个系统上的问题,光盘播放器性能优化从最初的20s缩减到5s内,再次熟悉了upx.exe的用法和winrar自解压文件的方便,同事也知到一个监控软件运行的软件(访问哪些磁盘和注册表项等)。下午解决了一个多任务并行优先策略问题。今天上了征信中心发现自己信用卡有三次逾...
分类:
其他好文 时间:
2014-10-28 21:23:21
阅读次数:
200
UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多不同的可执行文件格式 包含...
分类:
其他好文 时间:
2014-10-09 03:13:48
阅读次数:
203
方案一:如果是32/64位WinXP或者32/64位Win7(本文写作按照该方案。)安装python-2.7.3.msi安装pywin32-218.win32-py2.7.exe解压pyinstaller-2.0.zip (任何目录都行)拷贝upx.exe方案二:如果是64位WinXP或者64位Win7安装python-2.7.3.amd64.msi安装pywin32-218.win-amd64-py2..
分类:
编程语言 时间:
2014-08-26 19:53:18
阅读次数:
256
样本来自卡饭论坛,本文主要展示如何对下载者的下载接管,注重网络通信部分,其他感染传播隐藏之类的功能暂且不涉及,代码分析部分暂不贴了。
一、样本基本信息
1)文件名称: yf.exe
2)MD5: 9648c7cc2f01d7b67718cb89a48d927e
3)文件类型: EXE
4)壳或编译器信息: PACKER:UPX V2.00-V3.00 ->...
分类:
其他好文 时间:
2014-07-30 10:02:24
阅读次数:
176
1.UPX壳我们先来看一下数据是怎么被解压出来的,首先刚进入外壳时,就有这么几句代码:/*462A40*/ pushad/*462A41*/ mov esi,43F000/*462A46*/ lea edi,dword ptr ds:[esi+FFFC2000]/*462A4C*/ mov dwor...
分类:
其他好文 时间:
2014-07-06 20:06:24
阅读次数:
249
这个没有什么截图,主要步骤如下: a.
安装python-2.7-x64版本(我的系统是win7-x64) b. 下载PyInstaller-2.1 x64版本 c. 下载pywin32-x64版本
d.下载upx.exe (这个在pyinstall官网上面会有提示) e.使用pythone set...
分类:
Windows程序 时间:
2014-04-30 16:28:49
阅读次数:
1037
