我正在测试构建为 COM EXE 服务的恶意软件。此 exe 文件具有数字签名。
我成功地删除了数字签名,以尝试对其进行修改以进行逆向工程测试。
但是当我在 OllyDbg 中打开它并进行任何微小的更改时,恶意软件会崩溃并且根本无法运行。即使我尝试将代码洞中的一个字节更改为nop命令,恶意软件也不会运行。
为什么即使在代码洞穴中我也无法更改它?任何的想法?
exe修改后崩溃
逆向工程
ollydbg
恶意软件
电脑
2021-06-10 15:11:41
2个回答
也许恶意软件有自己代码的“SHA1”这样的哈希值,所以当恶意软件运行时,他会检查内存中可执行文件的校验和,并将内存的哈希值与代码中包含的哈希值进行比较
尝试在起点查看恶意软件正在做什么,例如内存突袭,并搜索他调用exit()函数或任何使其退出的函数的位置
@Karim 的想法是对的。另一个想法是您的恶意软件可能正在检查 Windows 的注册表调试标志。由于 Olly 运行动态分析,如果在调试过程中应用任何更改,您的 .exe 会识别它并停止工作。
其它你可能感兴趣的问题