[求助]一个变态壳对API调用进行VM-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2 楼因为那个JMP的跟踪太复杂了，实在没跟出来，，，，，不然我可以直接弄成call [jmp API]的形式。。。。。大神们求教啊。。。。。 2010-2-17 01:39 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 3 楼现在我把007C6990处的代码改成 007C6990 56 push esi ; kernel32.7C802854 007C6991 8BB5 9DEC040A mov esi, dword ptr [ebp+A04EC9D] 007C6997 C706 90909068 mov dword ptr [esi], 68909090 007C699D 8946 04 mov dword ptr [esi+4], eax 007C69A0 C746 08 C390909>mov dword ptr [esi+8], 909090C3 //也就是把VM的代码弄成 //nop //nop //nop //push addr //retn //nop //nop //nop //这样恰好对其4字节 007C69A7 EB 0E jmp short 007C69B7 007C69A9 90 nop 007C69AA 90 nop 007C69AB 90 nop 007C69AC 90 nop 007C69AD C606 E9 mov byte ptr [esi], 0E9 007C69B0 2BF0 sub esi, eax 007C69B2 83C6 05 add esi, 5 007C69B5 F7DE neg esi 007C69B7 8B85 9DEC040A mov eax, dword ptr [ebp+A04EC9D] 007C69BD 90 nop 007C69BE 90 nop 007C69BF 90 nop 007C69C0 8385 9DEC040A 0>add dword ptr [ebp+A04EC9D], 0C 然后在Import REC中手动要它加载41c0000处的XX信息，然后剪切掉垃圾信息，就成了图中那样的全部有效了. 但是在FIX DUMP的时候出现了这个对话框（见图），这个是怎么回事啊？ import rec明明能读出来，怎么还说和DUMP的不一致啊？上传的附件： QQ截图未命名.jpg （102.17kb，171次下载） 2010-2-17 22:23 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 4 楼懂了，41c0000是程序运行后申请的空间，壳把代码放这里，但是在DUMP的时候并不会被DUMP下来。。。。所以就XXXX了。。。。。。。。求教，怎么把这些内存也给DUMP下来啊？ 2010-2-17 22:28 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 5 楼想到办法了，在007C6990那里把ebp+A04EC9D改到指向一个有效的地址！！！太晚了，明天再做。。。。 2010-2-17 22:47 0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 6 楼不用那么麻烦 LoadPE的区域dump应该可以 2010-2-17 23:59 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 7 楼可以是可以，但是要修改VA，修改VA后就无效PE文件，用LORDPE 也修复不来 2010-2-18 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

XSJS

雪币： 152

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

14

回帖

436

粉丝

1

关注

私信

XSJS: 2 楼

因为那个JMP的跟踪太复杂了，实在没跟出来，，，，，不然我可以直接弄成call [jmp API]的形式。。。。。大神们求教啊。。。。。

2010-2-17 01:39

0

XSJS

雪币： 152

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

14

回帖

436

粉丝

1

关注

私信

XSJS: 3 楼

现在我把007C6990处的代码改成

007C6990    56              push    esi                              ; 

kernel32.7C802854
007C6991    8BB5 9DEC040A   mov     esi, dword ptr [ebp+A04EC9D]
007C6997    C706 90909068   mov     dword ptr [esi], 68909090
007C699D    8946 04         mov     dword ptr [esi+4], eax
007C69A0    C746 08 C390909>mov     dword ptr [esi+8], 909090C3
//也就是把VM的代码弄成
//nop
//nop
//nop
//push addr
//retn
//nop
//nop
//nop
//这样恰好对其4字节
007C69A7    EB 0E           jmp     short 007C69B7
007C69A9    90              nop
007C69AA    90              nop
007C69AB    90              nop
007C69AC    90              nop
007C69AD    C606 E9         mov     byte ptr [esi], 0E9
007C69B0    2BF0            sub     esi, eax
007C69B2    83C6 05         add     esi, 5
007C69B5    F7DE            neg     esi
007C69B7    8B85 9DEC040A   mov     eax, dword ptr [ebp+A04EC9D]
007C69BD    90              nop
007C69BE    90              nop
007C69BF    90              nop
007C69C0    8385 9DEC040A 0>add     dword ptr [ebp+A04EC9D], 0C

然后在Import REC中手动要它加载41c0000处的XX信息，然后剪切掉垃圾信息，就成了图中那样的全部有效了.
但是在FIX DUMP的时候出现了这个对话框（见图），这个是怎么回事啊？
import rec明明能读出来，怎么还说和DUMP的不一致啊？