首页
社区
课程
招聘
[求助]关于TMDIAT修复的问题,很奇怪.请大侠进来提点一下
发表于: 2010-11-18 01:02 5327

[求助]关于TMDIAT修复的问题,很奇怪.请大侠进来提点一下

2010-11-18 01:02
5327
首先这个TMD可能是高版本的?或者是低版本的?我不太清楚,虽然也脱过几个TMD壳的软件,但是多数都是我的PEID查不出来的,自己靠经验脱得.
在解决TMD壳的IAT加密部分,如果让TMD对API加密了,太恶心了..所以我一般都是通过改MAGIC JUMP来解决的. 以前脱过几个软件的,改动了一下修改CRC效验部分然后就可以轻松地搞定了.这次朋友拿来一个软件让我脱壳,一旦我修改了MAGIC JUMP那里的代码,TMD会出现内部错误,不修改的话,绝对是不会出现的..内部错误.据观察貌似是在TMD的虚拟机里面..小弟能力有限,实在是搞不懂到底是什么一个情况了..

MAGIC JUMP的代码如下:

0065F794 2BD9 sub ebx,ecx ; 这里是检测是否加密
0065F796 90 nop
0065F797 90 nop
0065F798 90 nop
0065F799 90 nop
0065F79A 90 nop
0065F79B 90 nop
0065F79C F9 stc
0065F79D 8B9D 71192F07 mov ebx,dword ptr ss:[ebp+72F1971]
0065F7A3 0F8B 08000000 jpo 客户端.0065F7B1
0065F7A9 0F86 02000000 jbe 客户端.0065F7B1
0065F7AF 60 pushad
0065F7B0 61 popad
0065F7B1 2BD9 sub ebx,ecx
0065F7B3 90 nop
0065F7B4 90 nop
0065F7B5 90 nop
0065F7B6 90 nop
0065F7B7 90 nop
0065F7B8 90 nop



NOP掉的部分,都是我修改了的部分.我再修改了的部分下硬件的内存访问断点,想试图找到CRC效验的部分,但是很悲剧i的是会在以下代码处出现一个TMD内部错误的窗口:

0054362E /E9 3B800000 jmp 客户端.0054B66E
00543633 |B9 04000000 mov ecx,4
00543638 |81C3 B901135F add ebx,5F1301B9
0054363E |01CB add ebx,ecx
00543640 |E9 BC620000 jmp 客户端.00549901
00543645 |66:0FB602 movzx ax,byte ptr ds:[edx] ; 内部错误
00543649 |57 push edi
0054364A |E9 44620000 jmp 客户端.00549893
0054364F |68 100C0000 push 0C10
00543654 |890C24 mov dword ptr ss:[esp],ecx


会在我提示的地方出现一个内部错误,这个已经是我第二次遇到这种情况了.第一次我以为是机子的问题,这次我想应该是TMD的新技术?还是什么呢?小弟能力浅薄,希望能有大侠提点一下.

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 199
活跃值: (65)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
2
自己顶一下,希望明天能有大侠能指点我一下.!
2010-11-18 01:31
0
雪    币: 199
活跃值: (65)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
3
难道没人能给点指点吗?
2010-11-18 15:00
0
雪    币: 199
活跃值: (65)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
4
守了一天了,也实验了一天了还是不能解决,上天啊,赐我一个大侠来指点我一下吧.!换了系统依旧没用.
2010-11-18 19:08
0
雪    币: 199
活跃值: (65)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
5
http://dl.dbank.com/c0lcuk0pfy  我把软件传到这里了,今天又搞了一天还是无法修改MAGIC JUMP那里,一修改就内部错误.. 希望有大虾能研究一下,或者告诉一下我这个是什么版本的TMD壳也可以啊...  ..拜托了.!
2010-11-18 19:39
0
雪    币: 199
活跃值: (65)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
6
...已经明白了,原来是关于IAT表的处理转到了VM里面去了,里面应该是有代码判断  - -.但我暂时没能力去解密VM了的代码...跪求大侠指点一下对TMD IAT表的解密处理.!
2010-11-18 23:27
0
雪    币: 111
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
使用最新的TMD脚本试下,应该可以完整修复IAT
2010-12-23 01:49
0
游客
登录 | 注册 方可回帖
返回
//