首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
(新手)脱壳后提示运行C0000005失败,od无法载入
发表于: 2009-11-21 16:54 6859

(新手)脱壳后提示运行C0000005失败,od无法载入

charkqf 活跃值
2009-11-21 16:54
6859
入口已经找到输入表也修复没有发现无效指针,就是不能运行,每次运行都是提示两个"应用程序正常初始化(0xc0000005)失败。请单击“确定”,终止应用程序"  .od也不能载入

这是壳的入口
006DD290 >  833D 4CDE6D00 0>cmp     dword ptr [6DDE4C], 0
006DD297    75 05           jnz     short 006DD29E
006DD299    E9 01000000     jmp     006DD29F
006DD29E    C3              retn
006DD29F    E8 46000000     call    006DD2EA
006DD2A4    E8 73000000     call    006DD31C
006DD2A9    B8 90D26D00     mov     eax, offset <模块入口点>
006DD2AE    2B05 08DE6D00   sub     eax, dword ptr [6DDE08]
006DD2B4    A3 40DE6D00     mov     dword ptr [6DDE40], eax
006DD2B9    E8 9C000000     call    006DD35A
006DD2BE    E8 48020000     call    006DD50B
006DD2C3    E8 F8060000     call    006DD9C0
006DD2C8    E8 47060000     call    006DD914
006DD2CD    A1 40DE6D00     mov     eax, dword ptr [6DDE40]
006DD2D2    C705 4CDE6D00 0>mov     dword ptr [6DDE4C], 1
006DD2DC    0105 00DE6D00   add     dword ptr [6DDE00], eax
006DD2E2    FF35 00DE6D00   push    dword ptr [6DDE00]
006DD2E8    C3              retn
006DD2E9    C3              retn
006DD2EA    56              push    esi
006DD2EB    57              push    edi

这是找到的入口
0040B444   .  53            push    ebx                              ;  SFX 代码真正入口点
0040B445   .  8BD8          mov     ebx, eax
0040B447   .  33C0          xor     eax, eax
0040B449   .  A3 086A5B00   mov     dword ptr [5B6A08], eax
0040B44E   .  6A 00         push    0                                ; /pModule = NULL
0040B450   .  E8 2BFFFFFF   call    0040B380                         ; \GetModuleHandleW
0040B455   .  A3 405C5C00   mov     dword ptr [5C5C40], eax
0040B45A   .  A1 405C5C00   mov     eax, dword ptr [5C5C40]
0040B45F   .  A3 146A5B00   mov     dword ptr [5B6A14], eax
0040B464   .  33C0          xor     eax, eax
0040B466   .  A3 186A5B00   mov     dword ptr [5B6A18], eax
0040B46B   .  33C0          xor     eax, eax
0040B46D   .  A3 1C6A5B00   mov     dword ptr [5B6A1C], eax
0040B472   .  8D43 08       lea     eax, dword ptr [ebx+8]
0040B475   .  A3 246A5B00   mov     dword ptr [5B6A24], eax
0040B47A   .  E8 B9FFFFFF   call    0040B438
0040B47F   .  BA 106A5B00   mov     edx, 005B6A10
0040B484   .  8BC3          mov     eax, ebx
0040B486   .  E8 7DB1FFFF   call    00406608
0040B48B   .  5B            pop     ebx
0040B48C   .  C3            retn
0040B48D      8D40 00       lea     eax, dword ptr [eax]
0040B490   .  94B44000      dd      GW.0040B494

[课程]Linux pwn 探索篇!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
风随雨行
雪    币: 2523
活跃值: (520)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
OEP RVA:1B5408
2009-11-21 19:22
0
charkqf
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这个入口之前也试过,不过dump后用ImportREC修复后结果还是一样提示c00000005失败,把以才用OD查的OEP ,这个结果不知道是不是我的ImportREC参数没写对?

ImportREC 需要的IAT信息:
OEP 001B5408    自动查找IAT
RVA 001C9CE4     大小00000A80
载入树文件 保存树文件  获取输入表

005B5408    55              push    ebp
005B5409    8BEC            mov     ebp, esp
005B540B    83C4 F0         add     esp, -10
005B540E    53              push    ebx
005B540F    56              push    esi
005B5410    B8 2CB65A00     mov     eax, 005AB62C
005B5415    E8 2A60E5FF     call    0040B444
005B541A    8B35 C81D5C00   mov     esi, dword ptr [5C1DC8]          ; GW.005C82C8
005B5420    E8 0F76E5FF     call    0040CA34                         ; jmp 到 ntdll.RtlGetLastWin32Error
005B5425    3D B7000000     cmp     eax, 0B7
005B542A    75 45           jnz     short 005B5471
2009-11-22 02:13
0
charkqf
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
难到是检测,但也不至于od都加不上吧。 错误好像都在null.dll里面发生的
2009-11-23 05:39
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
5
附件本身都不能跑了
2009-11-23 09:17
0
charkqf
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
附件可以正常跑的
2009-11-23 17:14
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
7
真的?
那可能是不能在2k跑吧.
2009-11-23 17:27
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
8
因你用全dump的, 可能是因为TLS的栏位(Address of Index)被清掉的关系.

用16进制编辑器open你脱好的 .exe , 到文件位置 2DDE24 处
现为 00 F0 5C 00 48 F0 5C 00 00 00 00 00
改为 00 F0 5C 00 48 F0 5C 00 3C DE 6D 00
                                         
试试.
2009-11-23 17:56
0
风随雨行
雪    币: 2523
活跃值: (520)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
9
你dump时机不对,印象程序中有几个连续的call,f8步过的时候,有一个call的延时稍微长些,稍微卡了一下的感觉,在那个call后dump,然后修复IAT是没有问题的。程序不再下了,自己测试一下吧
2009-11-23 19:21
0
charkqf
雪    币: 178
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
非常感谢帮助我解答的两位~~ 现在问题已经解决~ 解决方法:

2009-11-23 20:42
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//