好友
阅读权限25
听众
最后登录1970-1-1
|
不写文章了,因为我不会分析,写不出好文章让大家看,还会误导大家,实在想看文章的可以看我的这篇文章
升级!Safengine Licensor 1.85DEMO 默认加壳IAT修复
http://www.52pojie.cn/thread-71713-1-1.html
这次的和那个基本上差不多 没有遇到很特别的东西,没有遇到DLL模拟或者一些强悍的ANTI。另外这个脱的是1.80的不是1.85的原因就是1.85的搞不定啦!
说下这次和上次的区别:
1、正式版加壳的程序没有了
01. 005FA634 68 567D5E5A PUSH 5A5E7D56
02. 005FA639 9C PUSHFD
03. 005FA63A 814424 04 39018>ADD DWORD PTR SS:[ESP+4],40860139
04. 005FA642 60 PUSHAD
其实并不是没有了些个代码只是正式版中被乱序了,所以再处理这个方面我感觉还是一条代码一条代码的找,看看能在多少步之内能找到这几句代码,目前脚本中定的是50(应该是16进制的),这个要看加壳后的了,自己判断吧!
2、由于这个程序比较特殊,我发现它用了貌似和HEAPANTI类似的东西,往低地址写入很多的代码,所以脚本中增加了一部分就是把这个给放到了高地址中这样就可以补区段了!
3、由于这个程序貌似调用了SL的SDK函数,我没有修复,然后补区段上去了所以导致脱壳后的程序计算的机器码数据都是我电脑上的,导致计算的结果不正确。这个问题欢迎大牛们讨论!
4、 脚本的产生是偶然事件;菜鸟学习之用,欢迎大牛们拍砖。
下面给出我脱壳用到的脚本还有脱壳后的程序这样也方便大家调试研究!
脚本:
http://u.115.com/file/f5d86eadbd#脚本.rar
http://dl.dbank.com/c0fqlwmva5
原程序及脱壳后样本:
http://dl.dbank.com/c01v3n4wc5
http://u.115.com/file/f56db7701c#样本.rar |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2010-12-11 20:42
前排占位观察。
