|
[求助]脱壳后检测不出语言类型
有道理,protection_id说我觉得已经脱掉壳的程序是visual c++ 8.0写的并且仍有vmp保护 这oep的代码似乎和vc++的入口特征也不像~ 这是用fast method找到的,待我再用normal method找找看. ...... 好象找不到新的OEP~ |
|
[求助]脱壳后检测不出语言类型
附上OEP处代码: 0041F586 /> /55 push ebp 0041F587 |. |8BEC mov ebp, esp 0041F589 |. |83EC 10 sub esp, 10 0041F58C |. |A1 30264400 mov eax, dword ptr [442630] 0041F591 |. |8365 F8 00 and dword ptr [ebp-8], 0 0041F595 |. |8365 FC 00 and dword ptr [ebp-4], 0 0041F599 |. |53 push ebx 0041F59A |. |57 push edi 0041F59B |. |BF 4EE640BB mov edi, BB40E64E 0041F5A0 |. |3BC7 cmp eax, edi 0041F5A2 |. |BB 0000FFFF mov ebx, FFFF0000 0041F5A7 |. |74 0D je short 0041F5B6 0041F5A9 |. |85C3 test ebx, eax 0041F5AB |. |74 09 je short 0041F5B6 0041F5AD |. |F7D0 not eax 0041F5AF |. |A3 34264400 mov dword ptr [442634], eax 0041F5B4 |. |EB 60 jmp short 0041F616 0041F5B6 |> |56 push esi 0041F5B7 |. |8D45 F8 lea eax, dword ptr [ebp-8] 0041F5BA |. |50 push eax 0041F5BB |. |52 push edx 0041F5BC |. |E8 B0F20200 call 0044E871 0041F5C1 |. |8B75 FC mov esi, dword ptr [ebp-4] 0041F5C4 |. |3375 F8 xor esi, dword ptr [ebp-8] 0041F5C7 |. |50 push eax 0041F5C8 |. |E8 06440300 call 004539D3 0041F5CD |. |33F0 xor esi, eax 0041F5CF |. |52 push edx 0041F5D0 |. |E8 1AFB0200 call 0044F0EF 0041F5D5 |. |33F0 xor esi, eax 0041F5D7 |. |55 push ebp 0041F5D8 |. E8 173C0300 call 004531F4 ...... |
|
[求助]vmp脚本生成文件的api-calc-section崩溃
哈哈,dump下来的程序能在本机运行了(但其他机器不行) 其实是增加了一些小的代码 首先通过拦VirtualProtect,与对12ffc0下硬件断点跟到oep 然后ctrl+b搜索00 00 00 00写上: push ebp push xxxxxx(此时堆栈里的值) jmp oep 设push ebp的地址为当前eip,然后dump... 然后这样就能在本机运行了(我也不知道原理,有谁能教我一下吗~) 但是只要在section中加上api_calc_xxxxxx.mem,就会崩溃,崩溃在LoadLibraryA函数 可能重建输入表的部分才是重点吧~~ |
|
[求助]重建输入表找不到iat偏移
我用VMProtect API Turbo Tracer 1.2这个脚本貌似又找到了一个oep:41f586 估计这个才是真正的oep吧,od里还显示OEP or near OEP! 然后脚本执行完了,显示Script Finished!Now add the API Calc section and set all necessary sections to writeable! 这是什么意思?如何理解把API Calc section加到dump好的文件里? 硬盘上多出的几个文件是:_API_TRACER.txt,_SYSTEM_APIS.txt, API_CALC-[30F0000]_New-VA_2CF0000.mem 谢谢~ |
|
|
|
|
|
|
|
[求助]脱壳时遇到ollydbg隐藏问题
哦,原来如此,隐藏成功了。谢谢~ 这程序是dos命令行下的程序 用ollydump插件里的find oep功能可以找到oep吗?运行了好长时间都没停下来~ 我手工搜索popad也没找到啊 shift+f9会直接运行程序,显示帮助后退出 本人小白,请多指教~ |
|
[原创]告诉刚入行的兄弟们,钱是这么赚的!
不是很懂,不过是不是因为对象中的成员变量可能发生溢出从而有机会修改对象中的虚表指针或虚表中的虚函数指针,那么程序调用虚函数时就会去执行shellcode啊~~ |
|
|
|
[求助]有关畸形RetAddr断点
终于把正常的cve-2010-1297的poc也拦下来了 先在authplay的30278a7c下断,用od加载adobe reader,运行 断下后对0c0c0c18下内存访问断点,运行 来到call [ecx+0c],进入了BIB.dll,估计和libtiff那个poc一样也是通过BIB.dll复制代码的吧 在BIB.dll中跟了半天(如果和libtiff一样应该是在做复制代码的工作)后 来到34a001c,这个call把一段代码拷到了函数后面的内存... 34a0031~34a003a应该是用来解密代码的~ 可惜是authplay.dll的哪个函数触发漏洞,包含call [ecx+0c]的代码不属于任何模块难道是ActionScript编译好的代码?,还不是很明白~~ |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值