[zz]Paper: A Journey to the Center of the Rustock.B Rootkit

楼主^#

更多发布于：2007-01-25 09:47

http://www.reconstructer.org/papers/A%20Journey%20to%20the%20Center%20of%20the%20Rustock.B%20Rootkit.zip

这篇paper主要讲的是怎么从r3取得r0的sys，还有r0怎么unpack的，具体到rustock并没有深入的分析。不过他分析的这个Rustock.B与我分析的那个Rustock.B好像有出入……

附件名称/大小下载次数最后更新: lzx32.rar (78KB) 108 2007-01-25 09:47

喜欢0

binjo

论坛版主

注册日期2003-04-23
最后登录2012-06-25
粉丝0
关注0
积分1002分
威望142点
贡献值0点
好评度140点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2007-01-25 12:52

Re:[zz]Paper: A Journey to the Center of the

汗，当然不是
我说的vm，指的是它开头一大段做初始化、检测之类的是用的虚拟机的代码，一些其它routine还是正常的

.xxx0:00018F63 OpCode dd offset Push_CR2_00 ; DATA XREF: .xxx0:00018818r
.xxx0:00018F67 dd offset _imul_w
.xxx0:00018F6B dd offset loc_18ED0
.xxx0:00018F6F dd offset Push_cr6
.xxx0:00018F73 dd offset _mov_w2dw
.xxx0:00018F77 dd offset restore_cr7
.xxx0:00018F7B dd offset _restore_cr4
.xxx0:00018F7F dd offset shr_bl_cl
.xxx0:00018F83 dd offset _div_dw
.xxx0:00018F87 dd offset _lodsd
.xxx0:00018F8B dd offset loc_18E84
.xxx0:00018F8F dd offset loc_18EBC
.xxx0:00018F93 dd offset loc_18E18
.xxx0:00018F97 dd offset loc_18DA1
.xxx0:00018F9B dd offset loc_18C25
.xxx0:00018F9F dd offset loc_18AE2
.xxx0:00018FA3 dd offset loc_18DF7
.xxx0:00018FA7 dd offset _div_w
以上是部分，还有很多我分析不下去了……

回复喜欢

binjo 论坛版主注册日期2003-04-23 最后登录2012-06-25 粉丝0 关注0 积分1002分威望142点贡献值0点好评度140点原创分0分专家分0分加关注写私信	板凳^# 发布于：2007-01-25 10:35 Re:[zz]Paper: A Journey to the Center of the 上面链接里有idb呀：）我这个因为看到是vm化的，所以一直没去仔细分析，能力不行呀，所以把binary放出来给牛牛们逆掉
	回复(0) 喜欢(0)

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

[zz]Paper: A Journey to the Center of the Rustock.B Rootkit

最新喜欢：