-
-
[原创]献给新手(三)--Windows还有更低阶的API--(SoftICE怀旧之旅)
-
发表于: 2011-1-7 05:17
-
|
|
|---|---|
|
|
|
|
|
|
|
|
你好,谢谢你的指教,因为我这篇文章是写给完全刚入门的新手,所以对VMP并没有多做说明,而一语带过,让你造成误会,实在很抱歉!
我这几篇给新手的帖,只是要让新手在适当的API上下断点,拦下程序,并没有要 "还原代码",用VMP或Virtualizer,都必需在程序中做上记号,它们仅对做上记号的部份做处理,这是其一,但不能理解为对整个sys档都做了所谓加壳处理,因此PE档头没被破坏,输入表中就可以查到用了什么低阶的 API,在SoftICE中就可以调用来拦截... 這对新手而言,我就直接告诉他们.sys档是不能被加壳的,不去解释后面这么多,希望已入门的雪友们能理解,因为我不是在写针对vmp的脱壳帖. 同样,vmp内保护的虚拟码,仍然要做我们原先指定的工作,该去呼叫API,还是得呼叫API,不会因为这样就变成不去呼叫API了,所以对入门的雪友,我说最后还是得在x86下的CPU指令下工作,因为被SoftICE拦下来的时候,雪友们仍可以看到呼叫低阶API时的API x86有意义机码,当然如果想要回去主程序领空,就是虚拟机的世界,也许我简中用的不好,造成前辈的误会. 我在主帖上有多放一个用vmp保护的.sys, zwdemo first.vmp.rar 有兴趣的雪友可以下来试试,程序中關鍵的zwOpenKey已被我標記給vmp,所以在IDA Pro是不會看到調用zwOpenKey的機碼,但用LordPE仍可以在輸入表中看到zwOpenKey  所以就可以在SoftICE中下斷點, ,SoftICE在关键的zw API一样可以拦下来的,虽然不能拿来还原程序码,但对分析恶意程式仍是有一定的帮助的^^ 希望不要再针对.SYS档能不能被加壳,或是被VMP加壳后的执行情况再挑我的语病了,重点是新手用SoftICE可以分析.SYS档,可以拦下Ring 0层的API来,这样就达到这篇文章的效果了 
|
|
|
|
|
|
|
|
|
继续向楼主学习 SE
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
