首页
社区
课程
招聘
[求助]希望高手不吝赐教(asprotect1.23)
发表于: 2009-11-30 18:45 2298

[求助]希望高手不吝赐教(asprotect1.23)

2009-11-30 18:45
2298
这个壳虽说是加密壳,但od载入即能运行,没有异常,用内存镜像法,多次断后找到地址::477eb0处:
00477EB0     55                  push ebp                                      ; AFR.00477EB0
00477EB1     8BEC                mov ebp,esp
00477EB3     33C0                xor eax,eax
00477EB5     55                  push ebp
00477EB6     68 367F4700         push AFR.00477F36
00477EBB     64:FF30             push dword ptr fs:[eax]
00477EBE     64:8920             mov dword ptr fs:[eax],esp
00477EC1     832D EC9A5F00 01    sub dword ptr ds:[5F9AEC],1
00477EC8     73 5E               jnb short AFR.00477F28
00477ECA     E8 19FFF8FF         call AFR.00407DE8                 jmp to kernel32.GetVersion
00477ECF     25 FF000000         and eax,0FF
非常像oep,于是此处脱了,然后注册表修复时不对了,打开superirec,输入地址后发现只有1个指针……就是getversion,修复自然不对,高手帮忙看一下是不是有暗桩或stolen codes我没能发现?
现在把rva大小修改后(原来只有4……),找到好多指针,无法修复,只能剪掉,然后也不对。搞得我不知道到底是oep不对呢,还是iat修复的问题。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 20
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
没人脱一下?
都是嫌太简单了么……那告诉我oep找的对不对也行啊
2009-12-1 14:24
0
游客
登录 | 注册 方可回帖
返回
//