瑞星卡卡安全论坛

:kaka12: 我录了一段，普通的捆绑文件的分析和分离教程，顺便把干净的宿主文件的壳也脱了，录下来给大家学习，


知识点：1，沙盘的基本使用
              2，Ollydbg的进一步使用技巧
              3，CreateFile WriteFile,CloseHandle,SetFilePointer,ShellExecuteA, ReadFile 这些API的功能
              4，一些简单的脱壳技巧
              5，脱壳工具的使用技巧
              6，内存基址
              7，捆绑文件的解绑









视屏收看地址：    http://users4.jabry.com/mixer/ccc.htm



    大家如果有什么疑问，欢迎跟帖提问。:kaka16:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; CIBA; MAXTHON 2.0)

:kaka9: 先顶后看

再看再顶

你打字好慢。。下次录好后加速1.5倍再发好吗。。哈哈。谢谢

:kaka1:  做个语言吧

原来只是开始那几行字慢:kaka6:

我公鸭嗓子，不想献丑。。。。。

看到一半卡带······不错不错哦，学习

:kaka11:  看不明白。。。。

sandboxie沙盘介绍：
　　Sandboxie允许你在“沙盘环境”中运行浏览器或其他程序，这个“沙盘”个人感觉就是跟“影子”一样的概念罢了。因此，在沙盘中运行的程序所产生的变化可以随时删除。可用来保护浏览网页时真实系统的安全，也可以用来清除上网、运行程序的痕迹，还可以用来测试软件，测试病毒等用途。即使在沙盘进程中下载的文件，也可以随着沙盘的清空而删除。
　　如果大家对“影子”/“沙盘”这2个概念还不清楚的话，这里引用官方的一段话：电脑就像一张纸，程序的运行与改动，就像将字写在纸上。而Sandboxie就相当于在纸上放了块玻璃，程序的运行与改动就像写在了那块玻璃上，除去玻璃，纸上还是一点改变都没有的。
　　如果还需要再解释一下的话，Sandboxie就是相当于在你要运行的程序与系统之间建立一个隔离层，当我们运行程序的时候，就会将程序直接调入该隔层中，此后，程序对系统所做的修改，都会被限制在这个隔离层中，而不会真正地去触及系统。这样的话，就算电脑感染了病毒和木马，也不会对系统造成真正的伤害。
　　是不是跟影子系统很像？呵呵，其实它们之间还有一个很大的区别，就是影子系统是对整个系统进行保护，而 Sandboxie是对电脑的局部进行保护。Sandboxie一般是设置某个程序在“沙盘”中运行，而不是将整个Windows都置于“影子”模式下。也就是可以很灵活地设置一个或几个觉得“危险”的程序运行在“沙盘”，而其他一切则正常运行。因此，对普通用户来说，Sandboxie的局部保护功能可能会更加方便。而且，用户还可以设置让Sandboxie像影子系统一样对整个系统进行保护的哦。
　　一、上网无忧，用SandBoxie在沙盘中运行浏览器
　　我们打开SandBoxie后，在右下角的图标中右键选择“运行沙盘→IE浏览器”，这时候会自动弹出标题栏中有两个“[#]”符号的IE浏览器，这就说明IE已经处于保护状态。去掉保护之后，历史记录连同IE之间安装过的流氓插件、下载的文件都会随之消失。
　　提醒：Sandboxie本身只能对第一个IE浏览器进程进行保护，不过用桌面上 Sandboxie的保护IE的快捷方式来上网，无论打开多少个IE浏览器，都在保护状态下。
　　二、测试安装危险程序
　　 木马和病毒总是比杀毒软件抢先一步。所以我们在安装程序的时候，即时杀毒软件没有报毒，也存在一定的风险。但使用Sandboxie后，就会将风险降低为零了。
　　选要安装或解压的不明程序，按鼠标右键，选择“用沙盘运行”（图3），就会以保护的形式来安装或解压该程序。同样，在程序的安装窗口中会发现标题栏上有两个“[#]”符号代表受保护。笔者在安装一个捆绑木马的程序时做了保护措施。恢复系统之后，发现在这期间安装的程序包括木马都消失了，相当的安全。
　　三、保护整个电脑，充当半个“影子系统”
　　Sandboxie还提供整个电脑的保护，在 Sandboxie中选择“功能”菜单，然后“选择运行沙盘→Windows 资源管理器”，就会自动弹出有两个“[#]”符号的“我的电脑”窗口。之后对整个电脑进行任意操作，包括格式化分区、删除文件、拷贝文件等都很安全。恢复的方法很简单。在Sandboxie主界面选择“配置 →沙盘设置→设置自动清理选项”，将隔离层中的内容清除即可。
　　另外，在最新的Sandboxie3.0版本中，它提供了多用户管理功能和多种独立保护方案。

:kaka1: 你继续

呵呵
期待楼主的更优秀的教程.

学习ing:kaka2:

:kaka1: 感谢楼主。鸭子嗓子的话AA处理后亦能成天籁之音！:kaka12: