exeinfope0.0.2.5 脱壳+除效验+除暗桩
本帖最后由 小鸡拜拜 于 2009-10-26 15:00 编辑话不多说直接下到
准备工具 OD 双手。
1. 脱壳
这就不多说了 UPX 手脱也好 脱机也行
2. 除效验
打开发现出现 自效验出来了 好 开始动手术
OD载入
直接F8下去
走到这里发现这里会跑到系统领空
所以把
00524B09 > \C605 0A4B5200 E9mov byte ptr ds:,0xE9
00524B10 .C605 D64A5200 E8mov byte ptr ds:,0xE8
直接 NOP掉 保存 发现程序可以正常运行了
3.除暗状
运行起来看到
Exeinfo PE was corrupted – tampared
干掉他吧
F8单步 继续走
这里 具体怎么分析嘛 也说不好 就是每个CALL多跟进 多看看
00524CE7 > \E8 A496FAFF call exeinfop.004CE390
这句 跟进去发现
Bad CRC?这不是自效验出错的提示么。。
再向下看看
MB 兆 大小? 感觉象啦 好了 F8 跟下去
96MB 这里 比较软件是否96MB 如果不等于就提示 文件被破坏
好了继续跟
这个JNZ 比较 BL值 是否与 653fdc6 的值一致 不能叫他跳滴 跳了就跳到了 深渊了
所以NOP 保存
哈哈 这个可爱的框框出来了
现在随便拉进去个文件 发现程序会自动关闭 =。= 东东还真多 干掉
OD从新载入
下断 程序退出断点
Bp ExitProcess 程序退出断点
OD里运行起来 随便拉进一个文件 程序被断下了
反汇编窗口中跟随
找到段首
00405310/$53 push ebx
查找参考 选定命令
全部下断
重载 运行
再放进去个程序
断在了这里
继续在段首 查找参考 选定命令
老样子 全部下断
重载运行
再拖进去个程序
断在这里向上看一看。。
发现这个JE 可以直接跳过。 好了 找到了 直接JMP
保存一份吧。。
程序正常拉 。。 到此教程结束没啥技术含量 大牛直接飘过吧
图文并帽,好文好文
如果能在加一点对暗桩的分析相信会更容易理解 先膜拜 后学习 :loveliness: 先学习,辛苦了 本帖最后由 smallyou93 于 2009-10-26 16:49 编辑
太强大了,只能膜拜...
那CALL我直接跳过了,结果一切正常,连ExitProcess的功夫都省了 小生的回复让我笑喷了。哈哈:loveliness: 看完了,不错的文章,学习学习,帮大侠顶下~~ 太强大了,只能膜拜...
那CALL我直接跳过了,结果一切正常,连ExitProcess的功夫都省了
smallyou93 发表于 2009-10-26 16:44 http://www.52pojie.cn/images/common/back.gif
哈哈=。=!道理不一样嘛。跳了也可以。 暗桩是怎么分析的? 强,大牛就是大牛...