少校
- 注册时间
- 2009-5-17
- 金币
- 1544 个
- 威望
- 29 个
- 荣誉
- 5 个
尚未签到
|
由于时间有限,我在这里就给大家演示两种方法吧,当然还有其他的方法的!
. i) F. k% e6 v8 z0 o
/ X. H8 ]+ l& D: j! W9 h( c9 K首先查壳,PECompact 1.68 - 1.84 -> Jeremy Collake
2 y- H, t0 G2 t; o# E
# l5 O/ h6 G& P" \. h( w# o% K& AOD载入! r* R7 Y7 U* I2 R$ T1 {3 Y T+ M
, X% M0 O4 n |- o方法一:单步法(忽略所有异常)
/ [0 T" S) s8 Z6 p1 x5 x H. X3 g# a# B3 V C/ S
大家先看一下我的操作,先做一个错误的示范。。。。
5 k( s: ~9 k$ P- Z( r( @4 q# j& \1 m) l
好的,继续看操作,这次是对的~~呵呵~ f# v$ d* ^# B, m, G6 ^' D3 Y8 l
' h' o0 `2 n1 B2 D/ }& s
0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F8
2 E$ V8 |( }9 P# j1 j. O0040C002 |68 CC100000 push 10CC
; ?- m' o7 E# U5 Z0040C007 |C3 retn. R g; V) {) q
0040C008 \9C pushfd
) u* ]# k6 ~- ^# N a0040C009 60 pushad9 V7 Z& F. d' C. L) p( k
0040C00A E8 02000000 call PECompac.0040C011 //F7过
( t* I9 V/ n. u" W" @。。。。。。。。。。2 s/ E5 K- M, G, j: _3 r, k1 R
0040D251 /0F84 9B000000 je PECompac.0040D2F2 //enter3 ~/ ~) e4 K: w! h# b0 `
。。。。。。。。。。9 V" K/ b T! C1 M
8 H, h/ n/ s( u! M6 v呵呵~2无法运行,那我们就修复吧~看操作,,,,,可以啦~~~接下来我们有必要用LD做优化~减肥~OK~~~
: {5 k2 @0 ^- O$ z0 D9 s# g) M2 G K7 N% K$ o& ~
B. ?) i1 b; y' A9 L方法二:ESP定律(忽略所有异常)
3 v' e0 |2 T, J0 x) R* S
) {- T' f B7 H3 [' h) l0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F8
9 S7 D% U7 }' M* q/ ]0040C002 |68 CC100000 push 10CC, {& D8 x( s- M4 m
0040C007 |C3 retn
( P+ C$ ?% Y( r |$ o3 f! } F0040C008 \9C pushfd
' F% t5 V$ ?, J0 v; g+ W0040C009 60 pushad //ESP,突现,0012ffc09 c4 g! }$ m( M, { H+ s
0040C00A E8 02000000 call PECompac.0040C011
q- m( t! B( l, I! C( \下命令行 hr 0012ffc0 回车,F9运行% t) H. g/ h3 U3 F* R' O* H. e) _
0040D550 50 push eax //到这里了,继续F8(记得取消硬件断点^_^)
9 D" }/ P: I0 \0040D551 68 CC104000 push PECompac.004010CC# S! e3 K6 v1 S' C8 W* z2 z5 T
0040D556 C2 0400 retn 4 //返回来到OEP
1 ^1 J; j& H' w% R+ N; S。。。。。。。。。。。。。。。
( c# h, i, S- q0 S, X o004010CC 55 push ebp 在这里dump就可以了# M5 H9 c0 x, c Q6 K3 y# V
004010CD 8BEC mov ebp,esp
& Z$ f; S e( x+ y004010CF 83EC 44 sub esp,44
, T; [% p4 y1 I; }
D9 w, j: T% n% O- q5 J8 d很容易就到了OEP了~~% g5 Z. P- n% i
# ?' z% H/ w' Z" r9 u; l0 r% L9 O
2 i: ]/ ]: r' v0 z2 H" N方法三:内存镜像法8 N% r' `0 |, C3 F/ i" o9 \: t
. q' c) a' x4 f* g; X
大家可以做为课后作业去完成4 S7 [ m) R5 Z) K) D, t
# `6 J" ` n7 }$ s3 @7 ~# w8 U D5 [% Y
还有就是应该可以用模拟跟踪法的~大家也可以试一下~~现在不早了~呵呵~ |
|
[复制链接]
IP卡
狗仔卡
发表于 2009-8-12 10:16
显身卡