od

转载自看雪论坛-暗夜之刃大神 https://bbs.pediy.com/thread-224773.htm 目录 0x01 分析注意事项-分析工具 0x02 病毒信息 0x03 病毒行为 0x04 脱壳 0x05 病毒初始化分析 0x06 Proc_时钟1 (时钟周期: 6000ms) 0x07 Proc_时钟2 (时钟周期: 1000ms) 0x08 Proc_时钟3 (时钟周期: 120000ms) 0x09 Proc_时钟4 (时钟周期: 10000ms) 0x10 Proc_时钟5 (时钟周期: 6000ms) 0x11 Proc_时钟6 (时钟周期: 10000ms) 0x12 Proc_时钟7 (时钟周期: 180000ms) 0x13 感染线程分析 0x14 具体感染流程分析 0x15 感染后程序的运行 0x01 分析注意事项-分析工具 (1) 这个病毒在xp系统分析比较好, Win7_64位下 “C:\WINDOWS\system32\drivers\” 目录不能运行程序. <我在这里耽误了很长的时间, 病毒分析要尽量确定病毒运行的环境, 很多病毒是在特定的环境中运行> (2) 两个很重要的API, 时钟回调 && 线程回调 都需要分析. SetTimer: 病毒经常用时钟来定时结束指定进程. CreateThread: 执行其他的代码分支,

转载自大神CSDN博主「九阳道人」 版权声明：本文为CSDN博主「九阳道人」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。 原文链接： https://blog.csdn.net/qq_31507523/article/details/88309060 QQ连连看单机版辅助制作全流程 最近在15PB学习逆向，分析了个小游戏并写出了辅助工具，在这里总结下全流程。 游戏：QQ连连看(单机版1.2) 完成目标： 1.去除广告 2.完成指南针、炸弹消除的功能 3.编写注入程序和游戏辅助的DLL 使用工具：VS2017、OD、CE、PEID、Spy++ 分析环境：Win7虚拟机 首先在百度上搜索“QQ连连看单机版”随便下了个V1.2版的，把它解压到桌面然后进入文件夹。 仔细观察下都有些什么文件，这很重要，有可能得到一些有利于破解的信息。 1. 在这里观察到有两个可执行的EXE文件、两个音乐文件夹，这都是比较重要的信息。 2. 用PEID擦看下这两个EXE程序基本信息，得以得出"kyodai.exe"程序是VC6.0的编译器编写的，游戏一般都是C++语言编写，而"QQ连连看单机版V1.2.exe"是一个加壳的程序，常见压缩壳ASpack这就忽略它，也能分析。 3. 双击"kyodai.exe"程序后回崩溃如图。 4. 那么就确定了开始游戏的程序