首页
社区
课程
招聘
[求助]学脱EncryptPE壳遇到问题,求思路
发表于: 2010-7-31 11:21 4655

[求助]学脱EncryptPE壳遇到问题,求思路

2010-7-31 11:21
4655
有一个PEid检测是“EncryptPE V2.2007.4.11 -> WFS [Overlay] *”的exe,运行后将Overlay释放到temp目录,释放出来是EPE文件(实际上是DLL),然后调用RegisterWindowMessage往Explorer的一个窗口注册一个消息,并调用SetWindowsHookEx设法接管该窗口的回调。接着SendMessage往那个窗口发送所注册的消息,这样Hook所注入的EPE文件就有机会执行相应代码,再次启动这个exe文件,最后那个最初启动的进程主动友好的退出。(说那么多,实际上就是它的一种自启动方法)
通过调试Explorer进程,发现它自启动进程的时候,也没有加任何参数,只是dwCreationFlags的值是2也就是DEBUG_ONLY_THIS_PROCESS(怪不得入口改CC或者附加进程都不行,因为Explorer已经是调试器了,结束Explorer就会同时结果这个进程)。
如果自己写一个程序CreateProcess创建它的时候dwCreationFlags参数是DEBUG_ONLY_THIS_PROCESS,那么该进程不会自启动加退出(PID对得上),但会处于“干耗着不干事”的状态,没有任何界面。但是用OD,删掉所有插件,让它知道被调试,并不传递任何异常,却依然会进入自启动加退出的结局。
这个还有什么好方法可以调试呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
原本写一个DLL注入Explorer,apihook掉GetThreadContext和SetThreadContext,企图前后比较差别。。。
结果一搜索,发现已经有前人指路了,http://bbs.pediy.com/showthread.php?t=48417&highlight=EncryptPE。阅读此文,找OEP的方法已经明白了,不过貌似是此壳的一个漏洞,如果它不是最后用SetThreadContext到达OEP的话,貌似就没有这么容易了吧?不过2、3、4所说的修复原理还是没看懂,以后再研究一下。
另外竟然还有脱壳机!?http://bbs.pediy.com/showthread.php?t=66567&highlight=EncryptPE,还真是可以脱掉。原作者太强大了,膜拜ing。。。
2010-7-31 22:52
0
游客
登录 | 注册 方可回帖
返回
//