-
-
[旧帖] 一个微狗3加密程序有狗脱壳后,如何修复IAT? 0.00雪花
-
发表于: 2011-1-9 17:35
-
某程序带狗脱壳后,如下图
上图中的4个(图中可看到, 看不到的还有很多)Nop CALL 分别应该对应下图中的四个api调用.
NOP CALL 单步F7后,进入下面的代码
0144A699 E8 0D51FFFF CALL P_New.0143F7AB
0144A69E 06 PUSH ES
再次F7后,进入:
0143F7AB 55 PUSH EBP
0143F7AC 8BEC MOV EBP,ESP
0143F7AE 81EC 94010000 SUB ESP,194
0143F7B4 53 PUSH EBX
0143F7B5 56 PUSH ESI
0143F7B6 57 PUSH EDI
0143F7B7 50 PUSH EAX
0143F7B8 53 PUSH EBX
0143F7B9 51 PUSH ECX
0143F7BA 52 PUSH EDX
0143F7BB 56 PUSH ESI
0143F7BC 57 PUSH EDI
0143F7BD A1 C6B24401 MOV EAX,DWORD PTR DS:[144B2C6]
在该CALL的返回位置, 中断后得到
014405A1 8B45 DC MOV EAX,DWORD PTR SS:[EBP-24] ; msvcrt.__set_app_type
014405A4 8945 04 MOV DWORD PTR SS:[EBP+4],EAX
014405A7 5F POP EDI
014405A8 5E POP ESI
014405A9 5A POP EDX
014405AA 59 POP ECX
014405AB 5B POP EBX
014405AC 58 POP EAX
014405AD C9 LEAVE
014405AE C3 RETN
此时 提示窗显示:
堆栈 SS:[0013FF08]=77B9632C (msvcrt.__set_app_type)
EAX=00000000
下面不知道咋搞了, 咋修复呢?
上图中的4个(图中可看到, 看不到的还有很多)Nop CALL 分别应该对应下图中的四个api调用.
NOP CALL 单步F7后,进入下面的代码
0144A699 E8 0D51FFFF CALL P_New.0143F7AB
0144A69E 06 PUSH ES
再次F7后,进入:
0143F7AB 55 PUSH EBP
0143F7AC 8BEC MOV EBP,ESP
0143F7AE 81EC 94010000 SUB ESP,194
0143F7B4 53 PUSH EBX
0143F7B5 56 PUSH ESI
0143F7B6 57 PUSH EDI
0143F7B7 50 PUSH EAX
0143F7B8 53 PUSH EBX
0143F7B9 51 PUSH ECX
0143F7BA 52 PUSH EDX
0143F7BB 56 PUSH ESI
0143F7BC 57 PUSH EDI
0143F7BD A1 C6B24401 MOV EAX,DWORD PTR DS:[144B2C6]
在该CALL的返回位置, 中断后得到
014405A1 8B45 DC MOV EAX,DWORD PTR SS:[EBP-24] ; msvcrt.__set_app_type
014405A4 8945 04 MOV DWORD PTR SS:[EBP+4],EAX
014405A7 5F POP EDI
014405A8 5E POP ESI
014405A9 5A POP EDX
014405AA 59 POP ECX
014405AB 5B POP EBX
014405AC 58 POP EAX
014405AD C9 LEAVE
014405AE C3 RETN
此时 提示窗显示:
堆栈 SS:[0013FF08]=77B9632C (msvcrt.__set_app_type)
EAX=00000000
下面不知道咋搞了, 咋修复呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
