少校
- 注册时间
- 2009-5-17
- 金币
- 1544 个
- 威望
- 29 个
- 荣誉
- 5 个
尚未签到
|
由于时间有限,我在这里就给大家演示两种方法吧,当然还有其他的方法的!$ Q0 M& m, }% @, G
5 V- O5 B: k* P0 V, i首先查壳,PECompact 1.68 - 1.84 -> Jeremy Collake
% R) N+ G+ U' G7 u5 e1 u0 Z$ ]9 J2 f. k
OD载入7 [/ L+ G, F9 n
7 I- N5 V4 u" I" p2 P4 c' I方法一:单步法(忽略所有异常)3 r4 I* |. y% L* H
! [/ Q% q; m+ Q X, x3 V
大家先看一下我的操作,先做一个错误的示范。。。。* Q# b" L8 h0 M* K: |4 y
5 x# R o# Y1 i; e
好的,继续看操作,这次是对的~~呵呵~+ P& v' o& W, ~1 n5 Q$ g# A
4 Z f, C5 s. J3 K+ P( f9 j5 W; ]3 k0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F87 Z! P) l% x, C3 s0 }. C
0040C002 |68 CC100000 push 10CC1 f9 H p; n% V" l# h" v8 o4 [
0040C007 |C3 retn
, D; |- ]% H) q; v# z0040C008 \9C pushfd
8 M( p+ r: P+ Q5 b0040C009 60 pushad, G/ Z5 t% C) b& ?4 M1 l9 l
0040C00A E8 02000000 call PECompac.0040C011 //F7过
- z" _. w* s% y! x# A。。。。。。。。。。
2 ^0 d/ E9 _8 J6 f S/ G0040D251 /0F84 9B000000 je PECompac.0040D2F2 //enter
2 {/ f7 ^) m/ @( e。。。。。。。。。。$ Q% f) B0 ^' S) c, ]
2 m5 \6 z) p8 ?& M& h8 x) ?呵呵~2无法运行,那我们就修复吧~看操作,,,,,可以啦~~~接下来我们有必要用LD做优化~减肥~OK~~~
# f, E: L8 ~/ T( R) c* t( `# G4 v4 n4 X8 e: N- w1 r @$ }% [. x
+ G2 N5 e X! h$ Q4 D# W9 t方法二:ESP定律(忽略所有异常)
1 H0 j' j7 K; o0 b& Y% w' v. u. ?% D" p! i0 X6 v/ }2 K7 Y' w) M
0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F8
0 w/ u4 D; A; F$ a0040C002 |68 CC100000 push 10CC
, T! u6 V' M- C/ Z0040C007 |C3 retn
- S" j4 ^: _0 d% w8 ^: A0040C008 \9C pushfd# ~3 \# Q' Z" {7 U9 j/ {- o2 m# N
0040C009 60 pushad //ESP,突现,0012ffc06 W+ \* p+ C6 T6 S6 o
0040C00A E8 02000000 call PECompac.0040C011
; J1 r5 E0 B: N" B* Q) a# r/ s8 X下命令行 hr 0012ffc0 回车,F9运行" L/ N3 N7 A7 E x7 G; I, L
0040D550 50 push eax //到这里了,继续F8(记得取消硬件断点^_^)" p0 W7 k# v4 Q8 C) A
0040D551 68 CC104000 push PECompac.004010CC0 g; q# a, x. L( Q" W
0040D556 C2 0400 retn 4 //返回来到OEP( J4 t1 T/ g' H; l( b) v" `
。。。。。。。。。。。。。。。
; c+ s! f1 {: f/ I004010CC 55 push ebp 在这里dump就可以了8 Q$ k9 x1 n: U2 X2 U8 d4 {
004010CD 8BEC mov ebp,esp
4 B9 [5 i% }$ ^4 |) F7 u# n5 K004010CF 83EC 44 sub esp,44
0 n* C0 |' E" X1 F$ } E! B) F* X
! R- H& h7 }' l! }# _! n很容易就到了OEP了~~4 P4 y( h7 U. q4 N) p* q
0 x! d, q( D' X; P; s7 P- q5 T/ W/ k7 n9 c7 f
方法三:内存镜像法
B8 o+ B' E( P/ ?3 S) D& N6 H. c" Q$ D, t9 s
大家可以做为课后作业去完成
: g; N6 x0 c/ V6 T( k8 `+ A" j' d) q6 j" R5 X* |4 u
还有就是应该可以用模拟跟踪法的~大家也可以试一下~~现在不早了~呵呵~ |
|
[复制链接]
IP卡
狗仔卡
发表于 2009-8-12 10:16
显身卡