好友
阅读权限40
听众
最后登录1970-1-1
|
ZeNiX
发表于 2009-5-11 14:53
感謝 Hmily 大哥一直以來對我的支持,
底下把自己新手搞笑的脫殼方式, 貼出來和大家分享.
當時發表這篇帖子的時候, 其實我還不太會用 OD. 只是聽很多人說 TTProtect強, 於是下了一個 1.61 Demo 試了一下. 自己拿 Notepad.exe 加殼.試脫了一下, 還 OK.研究了一下, 有個小洞可以鑽.
只是示範這個小洞, 時間不夠, 所以脫殼後, 文件尚未減肥.
我把當時的步驟一步一步說明, 你們看完不要笑我的方法太菜哦!! 我真的是新手.
我那時候真的還不會用 OD去追蹤軟件.
首先用 OD 載入, 按 F9 運行. 就會得到這個可愛的 NAG .
這個時候, 點了[確定]之後, 就追不下去了. 還好, 我不會追.
所以我們不要按[確定]自殺, 先回到 OD 按這裡 [Alt-F9] 執行到用戶代碼.
然後回去點那個會讓 OD 掛掉的 [確認]. 等暫停在 OD 之後按 [Alt-B] 查看內存, 找到這個區段. 你會發現這個時候,其實已經完成解碼了.
按 [Alt-F9] 或按幾個 F8 回到記事本的領空.
在圖上我明明打的 [在這裡可以 Dump] 卻被吃字了.
有了 DUMP 之後還不能正常運行, 我們需要用到 ImportREC 來修復.
這裡我需要得到三個數值, OEP, IAT 的位置及大小.
OEP 的找法, 有人是用特征碼. 當時我沒那麼深的功力,所以直接拿 PEID 的插件來用.
現成的工具, 不用白不用, 何必跟自己的 [F8] 過不去? (這圖是剛才重新抓的)
聽說手動修復IAT很難, 也很花時間. 我們新手最好先相信這些傳言. 看了他們的幾個方法, 哇!! 天書, 誰看得懂? 再說我的 OD 撐得住嗎? 算了, 找捷徑吧! 我們拿出不太有名, 但是確實很強大的 UIF來幫忙. 接下來的抓圖不太清楚, 我說明一下.
我那時還不會從 OD 裡看 PID, 所以就只好按出 [Ctrl+Shift+Esc] 工作管理員.(我真的是新手啊)
得到 PID, 拿到 UIF 裡填進去, 其它的不要填, 直接按 [Start] 就會出來一堆處理的報告.
我們只需要記下 IAT RVA 及 IAT Size 的值, 以及前面得到的 OEP 給 ImportREC 用.
新版的畫面, 還真是不習慣.
後面兩張圖, 是我用 HIEW 來檢查 Import Table 完整性用的.
其實用 OD 也可以, 只是當時我真的不會.
寫完了, 當時很多人看不懂的圖片, 一一解說完畢.
那時候, 我新是新手, 用的方法也極簡單. 大家不要把它想得太複雜了.
看到沒, 我沒騙你們, 我真的真的不會用 OD.
我只是運氣比較好… 啊! 不要丟雞蛋!
寫在最後:
這個方法, 只適用於 TTProtect 的 DEMO 版. 也就是有 NAG 會停下來給你 Dump 的.
正式版應該不適用.
為什麼說〔應該〕?
因為作者沒送我一份正式版.
哈, 下次見!
Zenix Yang |
|
|
发表于 2009-5-11 14:57
发表于 2009-5-11 15:11
发表于 2009-5-11 15:40
发表于 2009-5-11 16:11
TTP的文章好少感谢分享
