好友
阅读权限255
听众
最后登录1970-1-1
|
Hmily
发表于 2010-5-21 23:54
////////////////////////////////////////////////////////////
/// SDProtector SDK 修复脚本 ///
/// by fxyang ///
/// 2010.05.21 ///
////////////////////////////////////////////////////////////
/*
************************说明*******************************
SDProtector SDK 特征--
这个壳的SDK有两种,一种是用于程序初始化时,这个SDK的特点是运行
后被SDK保护的代码会被清零。这种模式特点是CALL到PE头里面的跳转表。
另外一种是使用是解密,运行完再次加密。这种模式特点是直接CALL栈
里的跳转表。
脚本功能--
本脚本用于脱壳后存在SDK代码修复。
脚本运行环境--
修复壳的SDK代码必须在带壳的环境下进行。因为修复使用的数据和环境
脱壳后无法生成。这个环境获得有两种--正在运行的原程序或者是脱壳到
OEP时的环境(脱壳脚本存在问题,到OEP时会丢失PE头里面的跳转指令)。
修复环境的搭建--
完整代码数据获得,一般是使用脱壳脚本到代码OEP处保存下来的代码数据。
或者是脱壳机脱壳后代码数据。
壳的环境获得,一般是正在运行的原程序,使用OD Attach进程,修改EIP
到代码的第一条指令(这时不用管原程序能不能运行,修复只是需要壳的
这个环境)。
把拿到的完整代码数据覆盖OD中的代码数据。完成环境搭建。
通过以上步骤就可以运行脚本,得到解密的SDK代码数据,贴回到脱壳后的
代码中,保存完成修复工作。
*/ |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2010-5-22 12:08
