现在的时代。。捆马成风，什么东西里都捆马，五花八门的方式都出来了。。就连一个游戏也要捆马。我在BT之家看到场了一个 抢滩登陆2006 就他的介绍看来是不错的，

　　捆马的人自己敢声称：经kv2005把关无毒，说明他对自己的免杀的功力是很有自信的，下面，就让我们来一步步的揭开他的骗局

　　下载得到抢滩登陆2006.exe 如图片所显示，的确kv2006下提示无毒，用瑞星金山全部提示无毒，用PEID检查为 看上去没有问题，但是一个安装包怎么可能是Microsoft Visual C++ 6.0？下面这张图片 一个安装包竟然要用vmprotect处理？这是为什么？要免杀吗？这就更加怀疑了。。

　　下面开始和捆马者正面较量！

　　我开始把他想简单了，以为可以直接用安装包解开工具直接处理，没想到的是我的所有安装包解开工具都提示无法解开，原因我想应该是vmprotect改变了文件的一些结构，从而无法识别的，好的，我们来简单的，直接运行安装包，不过要先记得拔掉网线！！

　　这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能，我们可以轻易的发现马的一切动作；

　　要，我们运行他，什么也不要再点，直接来看 就是这个图片，2006.exe就是安装包主文件，仔细看好了，2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件，进而，awaress.cn创建了iexplorer.exe这个东西看起来象个网站，其实就是鸽子的主体文件，下面我们把他检测一下。。 这个图片是virustotal的检测结果，我们可以看到，这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他

　　木马已经进入了系统，下面我们把他抓出来，看看服务： 瞧，和他的主文件名一样，在看看文件 这个文件就是他释放出的马了，结合icesword 可以看见红色的iexplorer.exe,即为木马的进程。木马已经抓出来了，下面就是对他处理处理。可以抓到后台的捆马的人，找出他的IP，然后嘛，拿出我们的强力攻击工具搞死他。。哈哈 我个人习惯把文件改成DLL,这样一来可以防止误运行，又可以被PE工具检测，我们可以看到，是nspcak的加可，可以进一步确认为NsPacK V3.7 -> LiuXingPing *的

　　为了能够反向抓出捆马的人，我们首先来脱壳，用Ollydbg加在 使用ESP定理，在0012ffc0上下memory access端点，我们回来到这里 难道脱壳没有成功？不，这个捆马着加了两次NSPACK,同样的方法，我们解决问题，回来到这里 这里是捆马的家伙自己写的花指令，一路跟踪下去。。我们最终回到达以下地方 从这里开始，所有的壳已经被解开开，我们看看下图 作者还写好了Ultra String Reference，项目 864

　　Address=004A2ED7

　　Disassembly=push Awarenes.004A2FD6

　　Text String=雨花石专版服务端安装成功！哈哈，名字就在这里，我们等会再去看看，先解决反向连接的IP，我们来到这里

　　堆栈 ss:[0012FF70]=00E63874

　　edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107A05DFE
0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41243C773D542B
3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7D2230BA5DE94B7D6FB)