Реверс вируса, дейсвия с таблицей импорта

Тема в разделе "WASM.BEGINNERS", создана пользователем Vadimcg, 24 июл 2017.

Метки:
  1. Vadimcg

    Vadimcg Member

    Публикаций:
    0
    Регистрация:
    5 апр 2017
    Сообщения:
    32
    При реверсе вируса наткнулся на функцию(назвал ее PEAnalysis) которая проверяет файл на наличие PE заголовка , ищет KERNAL32.dll и что-то делает с Firstthunck и OriginalFistThunck, что именно я так и не понял, помогите плиз:
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
     
    Vadimcg, 24 июл 2017
    #1
  2. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    503
    Vadimcg,
    :drag:

    Вы перед "реверсом вируса" почитали хотяб статейки какие на васме том же.. там примеры есть... ну просто после прояснения с KERNAL32.dll вопросы не иссякнут, а ответы скорее всего не поймете..
     
    Fail, 24 июл 2017
    #2
  3. Vadimcg

    Vadimcg Member

    Публикаций:
    0
    Регистрация:
    5 апр 2017
    Сообщения:
    32
    Примеры чего?
     
    Vadimcg, 24 июл 2017
    #3
  4. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    503
    Ну как работает вирус и все в таком духе.. "от зеленого к красному" почитайте например..

    PS

    Судя по первому скрину и комменту кода, правильнее все таки не KERNAL32.dll, а kirnal32.dll ...:drag:
     
    Fail, 24 июл 2017
    #4
  5. Vadimcg

    Vadimcg Member

    Публикаций:
    0
    Регистрация:
    5 апр 2017
    Сообщения:
    32
    Вы мне можите подсказать что значит строчка cmp byte ptr [ebx+3], 80h ? почему 80h? Судя по вашим коментариям код делает очевидные вещи, которые я не понимаю, можите мне описать это в 2х словах что происходит на 3 и 4м скрине.
     
    Vadimcg, 24 июл 2017
    #5