首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
这个壳到底是什么呢?
发表于: 2006-9-13 21:35 3242

这个壳到底是什么呢?

cracklove 活跃值
2006-9-13 21:35
3242
今天,用病毒变种听诊器扫了下机子,发现这个文件(在program file\common \里,隐含的),提示说是灰鸽子。我的最新毒库kv2006没报。
查壳,显示nsp1,但入口代码又不像。想脱壳后看看否是灰鸽子,水平太低,没办到。
请高人帮忙看下,如何脱它指点一下。
948K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6J5k6h3g2Z5L8%4y4@1x3e0q4Q4x3X3g2%4k6h3u0K6j5h3#2T1j5g2)9J5k6h3y4G2L8g2)9J5c8X3E0K6N6s2u0S2K9h3&6Q4x3V1k6o6L8$3&6K6L8$3&6Q4x3X3g2J5j5i4t1`.

这个东西是独立进程,没有插入。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
fly
雪    币: 898
活跃值: (4054)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
免疫007
2006-9-13 22:01
0
cracklove
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
怎么脱掉呢? 我脱它时,一直在里面绕来绕去,找不到关键。
2006-9-13 22:09
0
cracklove
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
已找到方法,多谢fly.
2006-9-13 22:16
0
Kisco
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
脱壳后的文件为: Borland Delphi 6.0 - 7.0

大小: 960 KB

运行后进程插入 IE ( 我从不用IE 上网,装了还原精灵, 而且在天网中把 IE 的

规则删了,插 IE 的木马对我是无效的,哈哈..)

估计是 ``````````灰鸽子````````````了

20050101

b64K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3I4#2j5$3E0T1K9i4u0V1i4K6u0W2K9o6p5^5i4K6u0W2x3i4y4@1P5s2W2Q4x3X3g2F1k6i4c8Q4x3V1k6A6M7q4)9J5k6h3A6H3k6H3`.`. <<== 放马的垃圾

// 7c5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0f1^5i4K6u0W2y4e0y4Q4x3X3f1%4x3q4)9J5k6e0x3H3i4K6y4m8z5o6l9H3x3q4)9J5c8Y4N6%4N6%4u0G2L8%4c8Q4x3V1j5`.

端口: 14614

另: 楼主说没有进程插入,应该是搞错了吧
2006-9-13 22:40
0
wdlock
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
只不过 最后用北斗压缩了一下 做好免杀不一定用007
2006-9-14 08:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回