-
-
[分享]第一阶段第四题
-
发表于: 2010-10-26 11:41
-
4提交.rar
壳盲,第一次这么认真去跟一个壳
分析不完整
胶后的异常跳转表没分析完
有个想法,
在程序第一个异常处理
00422D18 55 PUSH EBP ; 结构异常处理程序
构建一个环境,
将异常地址写到 pConentText 00656A48的 00656AB0地址,
直接跳去原主进程的异常处理,
如:006571F1 BA 2A14FFFF MOV EDX,FFFF142A ; 开始处理
再返回取处理后地址【00656AB0】,这样可跳过对异常处理的分析(时间不足情况下),不知是否可行
不过,这00422D18本身就有异常要处理,
能力有限
壳盲,第一次这么认真去跟一个壳
分析不完整
胶后的异常跳转表没分析完
有个想法,
在程序第一个异常处理
00422D18 55 PUSH EBP ; 结构异常处理程序
构建一个环境,
将异常地址写到 pConentText 00656A48的 00656AB0地址,
直接跳去原主进程的异常处理,
如:006571F1 BA 2A14FFFF MOV EDX,FFFF142A ; 开始处理
再返回取处理后地址【00656AB0】,这样可跳过对异常处理的分析(时间不足情况下),不知是否可行
不过,这00422D18本身就有异常要处理,
能力有限
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
