阅读:4617回复:5
[zz]Paper: A Journey to the Center of the Rustock.B Rootkit
http://www.reconstructer.org/papers/A%20Journey%20to%20the%20Center%20of%20the%20Rustock.B%20Rootkit.zip
这篇paper主要讲的是怎么从r3取得r0的sys,还有r0怎么unpack的,具体到rustock并没有深入的分析。不过他分析的这个Rustock.B与我分析的那个Rustock.B好像有出入…… |
|
|
沙发#
发布于:2007-01-25 10:29
我还以为是源代码呢~~原来是binary~
|
|
|
板凳#
发布于:2007-01-25 10:35
Re:[zz]Paper: A Journey to the Center of the
上面链接里有idb呀:)我这个因为看到是vm化的,所以一直没去仔细分析,能力不行呀,所以把binary放出来给牛牛们逆掉 |
|
地板#
发布于:2007-01-25 12:03
VM技术的?Jonna的蓝色药丸?
|
|
|
地下室#
发布于:2007-01-25 12:52
Re:[zz]Paper: A Journey to the Center of the
汗,当然不是我说的vm,指的是它开头一大段做初始化、检测之类的是用的虚拟机的代码,一些其它routine还是正常的 .xxx0:00018F63 OpCode dd offset Push_CR2_00 ; DATA XREF: .xxx0:00018818r .xxx0:00018F67 dd offset _imul_w .xxx0:00018F6B dd offset loc_18ED0 .xxx0:00018F6F dd offset Push_cr6 .xxx0:00018F73 dd offset _mov_w2dw .xxx0:00018F77 dd offset restore_cr7 .xxx0:00018F7B dd offset _restore_cr4 .xxx0:00018F7F dd offset shr_bl_cl .xxx0:00018F83 dd offset _div_dw .xxx0:00018F87 dd offset _lodsd .xxx0:00018F8B dd offset loc_18E84 .xxx0:00018F8F dd offset loc_18EBC .xxx0:00018F93 dd offset loc_18E18 .xxx0:00018F97 dd offset loc_18DA1 .xxx0:00018F9B dd offset loc_18C25 .xxx0:00018F9F dd offset loc_18AE2 .xxx0:00018FA3 dd offset loc_18DF7 .xxx0:00018FA7 dd offset _div_w 以上是部分,还有很多我分析不下去了…… |
|
5楼#
发布于:2007-08-12 10:23
|
|
|