binjo
论坛版主
论坛版主
  • 注册日期2003-04-23
  • 最后登录2012-06-25
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望142点
  • 贡献值0点
  • 好评度140点
  • 原创分0分
  • 专家分0分
阅读:3849回复:5

[zz]Paper: A Journey to the Center of the Rustock.B Rootkit

楼主#
更多 发布于:2007-01-25 09:47
  http://www.reconstructer.org/papers/A%20Journey%20to%20the%20Center%20of%20the%20Rustock.B%20Rootkit.zip


这篇paper主要讲的是怎么从r3取得r0的sys,还有r0怎么unpack的,具体到rustock并没有深入的分析。不过他分析的这个Rustock.B与我分析的那个Rustock.B好像有出入……
附件名称/大小 下载次数 最后更新
lzx32.rar (78KB)  108 2007-01-25 09:47
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
沙发#
发布于:2007-01-25 10:29
我还以为是源代码呢~~原来是binary~
没有战争就没有进步 X3工作组 为您提供最好的军火
binjo
论坛版主
论坛版主
  • 注册日期2003-04-23
  • 最后登录2012-06-25
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望142点
  • 贡献值0点
  • 好评度140点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2007-01-25 10:35
Re:[zz]Paper: A Journey to the Center of the
上面链接里有idb呀:)

我这个因为看到是vm化的,所以一直没去仔细分析,能力不行呀,所以把binary放出来给牛牛们逆掉
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
地板#
发布于:2007-01-25 12:03
VM技术的?Jonna的蓝色药丸?
没有战争就没有进步 X3工作组 为您提供最好的军火
binjo
论坛版主
论坛版主
  • 注册日期2003-04-23
  • 最后登录2012-06-25
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望142点
  • 贡献值0点
  • 好评度140点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2007-01-25 12:52
Re:[zz]Paper: A Journey to the Center of the
汗,当然不是
我说的vm,指的是它开头一大段做初始化、检测之类的是用的虚拟机的代码,一些其它routine还是正常的

.xxx0:00018F63 OpCode       dd offset Push_CR2_00   ; DATA XREF: .xxx0:00018818r
.xxx0:00018F67                 dd offset _imul_w
.xxx0:00018F6B                 dd offset loc_18ED0
.xxx0:00018F6F                 dd offset Push_cr6
.xxx0:00018F73                 dd offset _mov_w2dw
.xxx0:00018F77                 dd offset restore_cr7
.xxx0:00018F7B                 dd offset _restore_cr4
.xxx0:00018F7F                 dd offset shr_bl_cl
.xxx0:00018F83                 dd offset _div_dw
.xxx0:00018F87                 dd offset _lodsd
.xxx0:00018F8B                 dd offset loc_18E84
.xxx0:00018F8F                 dd offset loc_18EBC
.xxx0:00018F93                 dd offset loc_18E18
.xxx0:00018F97                 dd offset loc_18DA1
.xxx0:00018F9B                 dd offset loc_18C25
.xxx0:00018F9F                 dd offset loc_18AE2
.xxx0:00018FA3                 dd offset loc_18DF7
.xxx0:00018FA7                 dd offset _div_w
以上是部分,还有很多我分析不下去了……
ProPlayboy
驱动大牛
驱动大牛
  • 注册日期2005-07-07
  • 最后登录2014-01-30
  • 粉丝0
  • 关注0
  • 积分1016分
  • 威望811点
  • 贡献值0点
  • 好评度719点
  • 原创分0分
  • 专家分0分
5楼#
发布于:2007-08-12 10:23
人不靓仔心灵美,版头不正红花仔!
游客

返回顶部