不应该拿到一个ppt就着手去分析,其实我并没有直接去分析,我还是看了一下它里面的东西的,也跑了一下,看了一下它的执行效果,但是由于经验不足,我没有认出那两个可疑的东西,我真的看了,而且还用16进制编辑工具看了,但是我只看了头部,不是PE文件,也不是DOS程序,不是可执行的二进制文件,然后我就放弃了,但是重要部分恰恰就在尾部。
本来我很清楚逆向的流程,用什么看什么,先看哪后看哪,技术水平、经验可能不足,但是理论知识应该够用的。但是由于我太相信自己的理论知识,认为跟了就能找到,只要一直跟下去,跳过一部分乱七八糟的东西,迟早会到它运行的位置。但是。。。我错了。。。它根本没有直接执行预期的那些代码或者其他的什么,它是启动了几个正常的系统程序去执行目标功能,比如加载inf,我用软件已经抓到那几个进程的创建了,但是我没有去看那几个进程。因为我以前弄过一个类似的东西,它创建了一个执行体进程,然后用缓冲区溢出来执行代码,所以我判断当前ppt也会这样做,所以我一直在沿着这里找,但是实际上是错误的。
我在打开ppt,看效果的时候,同时看到了两个链接,当我看到那条连接的时候,其实,本能地我想到了HTTP系列函数类似的功能,根本没有想到,原来那个链接,其实是个远程共享,直接使用文件操作就可以解决。。。
这三处错误,导致我误了三个关键点, 结果导致我的失败。。。
哎。。。
心里好乱,写得也好乱,改吧,不能死心眼。