样本是:wallet勒索病毒
环境:虚拟机VMWARE win7 32位
工具:OD,winhex
初次拿到样本,先用火绒剑工具监控下病毒样本的流程,可以看到有一个自创建进程的行为。
我们等找到OEP后,在CreateProcessA下断点进行跟踪,
找到OEP后,对CreateProcessA下断点
返回查看后续远程写执行代码操作,提前将断点打好
开始按F9,准备DUMP病毒执行代码,同时打开WINHEX,新建文件,将DUMP代码拷贝到新建文件中,
最后拼接成的可执行文件可直接运行,代表我们脱壳完成。
