RWhackA远程线程注入式病毒分析（H&NCTF2024）

文章预览

wp拜读： [原创]H RE 部分题解 （https://bbs.kanxue.com/thread-281801.htm#msg_header_h2_0） 涉及到的知识点： IDA动态调试 IDAPython脚本 用快照对进程、模块、线程进行遍历（代码段） 病毒感染实现(PE infector) DLL文件分析 发现保护器：保护器: Enigma Virtual Box 脱壳失败： 分析main函数逻辑 开始手动静态分析： 静态分析发现有很多內存访问异常点，均出自函数调用上，可能是程序重定位时产生的错误，没办法只能动态调试了。 动调验证MEMORY爆红原因 我想知道为什么会动态调试才出现真实的地址， 找到存放地址的变量去下一个断点： 下个读写断点： 再去看是被哪个函数写入的值。 成功找到！ 毫无疑问这个正确的地址是由保护器Enigma Virtual Box动态写入的。 发现存在一个非官方库的dll文件，猜这其实是题目要给的附件只是被打包进了exe！ 动调DLL文件的Local_Hide函数 继 ………………………………