少校
- 注册时间
- 2009-5-17
- 金币
- 1544 个
- 威望
- 29 个
- 荣誉
- 5 个
尚未签到
|
由于时间有限,我在这里就给大家演示两种方法吧,当然还有其他的方法的!2 I- h' F# e" O. ]) s
9 D4 a6 r& b* X8 w8 G% }首先查壳,PECompact 1.68 - 1.84 -> Jeremy Collake
0 Y: E) H; ~, [2 S6 C" j# }/ [. v1 u1 b' S5 [' M
OD载入' A/ J- A6 o! g( a$ W7 ~; O
D' h/ W# ? @
方法一:单步法(忽略所有异常)" J/ J& h5 w. G7 `+ ?
; Y7 t: {+ ]; V9 H l" t4 W大家先看一下我的操作,先做一个错误的示范。。。。
1 g+ p$ ?* {7 K4 T" B/ \: M$ M b. |+ R* J
好的,继续看操作,这次是对的~~呵呵~
' d; U# y7 ~: [3 G
6 M* i" t2 j. s0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F8! @+ j) Y! o1 k: C) a
0040C002 |68 CC100000 push 10CC( R( N4 a- ?: }/ b, ^/ k2 g
0040C007 |C3 retn* F* ]. J( g. g7 D; [3 t* J8 L
0040C008 \9C pushfd+ B" u# T* A9 K3 p
0040C009 60 pushad
. M# @) i; `* U* c3 n$ _2 q0040C00A E8 02000000 call PECompac.0040C011 //F7过
8 K6 F1 W1 v9 I: }6 }. C7 m。。。。。。。。。。
3 g. g( @$ v+ p6 W* N0040D251 /0F84 9B000000 je PECompac.0040D2F2 //enter
+ z% U* q9 _' r; l( l6 v。。。。。。。。。。8 ], |8 h' k: M' m$ D1 ^
" X8 [6 j' s5 |. O/ `. ~5 X呵呵~2无法运行,那我们就修复吧~看操作,,,,,可以啦~~~接下来我们有必要用LD做优化~减肥~OK~~~1 d' j5 ]2 T$ A* h) ]
2 R" o- D* q: G7 y
7 |0 r5 I1 z' L) D" X4 L; \$ B方法二:ESP定律(忽略所有异常)
2 ~; D. y! a4 K' d+ C( h9 h! n7 p3 [ h! O V
0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F8! e5 d/ D4 `) ~3 G$ l7 `& A& ?
0040C002 |68 CC100000 push 10CC( i( K/ H- k) {+ i" e8 K
0040C007 |C3 retn
1 w I" W* B4 Y. C0040C008 \9C pushfd: ~$ r5 f, u4 ?6 _; I
0040C009 60 pushad //ESP,突现,0012ffc0
: O) [8 D/ T8 ~) T0040C00A E8 02000000 call PECompac.0040C0114 p* {# D- b$ |! ~: g
下命令行 hr 0012ffc0 回车,F9运行
& s& o9 E! U# x# W0040D550 50 push eax //到这里了,继续F8(记得取消硬件断点^_^)
! f0 k2 o1 i+ {3 A, P A% C0040D551 68 CC104000 push PECompac.004010CC y: Z0 q8 U: H3 V7 f
0040D556 C2 0400 retn 4 //返回来到OEP
3 Q( V" h4 n2 k+ r6 A! T& P3 ?/ d* G% v。。。。。。。。。。。。。。。
5 X+ s+ r$ W% e# r* F/ P4 Q0 C) K9 Z004010CC 55 push ebp 在这里dump就可以了" u8 b8 J. {/ O# H) Z( u
004010CD 8BEC mov ebp,esp, c. Q- g% l6 g9 o! t3 R, \& r4 V4 {
004010CF 83EC 44 sub esp,44
, S5 p) N% p7 T# ~* L: m3 P6 W2 G& d2 L! Z
很容易就到了OEP了~~% w3 S2 _$ i8 o. a4 d, d. O
2 u5 u6 z4 D, o1 Z* u
4 J, \+ H' h8 G; I! R, m方法三:内存镜像法4 `6 \9 e8 A t# L, D- @0 d+ G
* ^& I6 O3 c% R5 G' F$ _! L, w3 i& k大家可以做为课后作业去完成0 ?* ~7 S' a1 g+ B( ?
( \: x) t! U9 c& B
还有就是应该可以用模拟跟踪法的~大家也可以试一下~~现在不早了~呵呵~ |
|
[复制链接]
IP卡
狗仔卡
发表于 2009-8-12 10:16
显身卡