edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn")

　　堆栈 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn")

　　edx=00000000

　　Awareness

　　管理卷影复制服务拍摄的软件卷影复制

　　由以上几个方面的内容，很简单的就获得的全部的配置

　　C:\>ping flkano.noip.cn

　　Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data:

　　Reply from 202.110.91.221: bytes=32 time=78ms TTL=112

　　捆马的人正在线呢，

　　· 查询结果1：河南省 许昌市 网通

　　· 查询结果2：河南省驻马店市 网通

　　肯定是个河南省的垃圾hacker,我们要搞死他可以使用DDOS工具攻击他的*80断口，他的很快就回不上线了，OK，搞死捆马的人。。。

　　好了。我们还有一件事情没有做完，

　　起先的那个游戏是个捆绑的版本，我们还要分离出无马的纯净版本，OK，既然他是个捆绑机释放出的两个文件:2.tmp和3.tmp,，其中2.tmp就是游戏的真正的安装文件，我们把他复制出来 在用icesword看看，我命名为了2.exe瞧，没有再产生新文件了吧，说明这个就是真正的游戏这就是用PEID再次扫描的结果，确实是个安装包了。。说明解包成功，我们获得了真正的纯净的安装包

　　接下来，我们来学习学习他的免杀的方法，鸽子的主文件叫awareness.cn, 这个名字具有相当大的隐蔽性，容易被当成一个合法的网站空间，使用了两次的NsPacK V3.7 -> LiuXingPing *加壳，并且用了自己编写的花指令，成功的实现了大范围内的免杀，我们在来看看原始的带马的安装包，是一个捆绑机，使用了VMProtect加密入口处代码，并且将VMProtect自动产生的vmp0,vmp1两个区段修改成了rsrc1,vmp1一避人耳目，然后，再次使用花指令，这个花指令是VC+ +6。0的入口处代码。

　　在带马的安装包启动时，自动释放出鸽子并且改名成3.tmp在临时目录运行，再释放出真正的安装包为2.tmp在临时目录运行，只要我们复制出2.tmp并且改名为2.exe就能够得当纯净版本的游戏其中2.exe就是纯净版本的游戏，awareness.exe就是马，我们的工作顺利完成了。

　　总结一下，利用icesword我们能够轻易的发现问题，让这里的捆绑马的人显出原形

　　如果你有什么文件值得怀疑，那么可以在icesword的监控中运行，然后就能够轻易的发现是不是存在问题，这种方法比filemon/regmon联合监控的效果还要好，强烈推荐！

　　对付这些恶意的捆马者，我们要能轻松的识破他们的诡计，如果你想反向攻击攻击恶意的捆马者，可以使用些扫描工具或者溢出工具攻击攻击，如果实在没有办法可以使用SYN攻击工具直接攻击他的鸽子上线端口，这样绝对能让鸽子上线失效，当然，你要去免费域名商去把他的免费域名报告要求封闭也可以，具体的就大家自己干吧。。。

　　最后希望大家逃离挂马捆马的苦海，同时也希望那些以挂马捆马为荣耀的人停手吧，这样做对你们的技术提高有什么好处？

--
原文链接: http://industry.ccidnet.com/art/1101/20060911/897111_1.html