-
-
关于最新themida的壳,有些弄不清楚的想请教一下,高手进~~
-
发表于:
2011-1-22 05:29
5597
-
关于最新themida的壳,有些弄不清楚的想请教一下,高手进~~
有几点不是很懂,也研究了几天了,第一是oep处为什么堆栈不平衡??难道oep猜错??
oep处代码:
00425069 > E8 FF060000 CALL L.0042576D
0042506E . C3 RETN
0042506F . E8 6A7C0000 CALL L.0042CCDE //这里是猜测的oep
00425074 .^E9 16FEFFFF JMP L.00424E8F
00425079 CC INT3
0042507A CC INT3
0042507B CC INT3
0042507C CC INT3
0042507D CC INT3
0042507E CC INT3
0042507F CC INT3
00425080 /$ 80F9 40 CMP CL,40
00425083 |. 73 15 JNB SHORT L.0042509A
00425085 |. 80F9 20 CMP CL,20
00425088 |. 73 06 JNB SHORT L.00425090
0042508A |. 0FA5C2 SHLD EDX,EAX,CL
0042508D |. D3E0 SHL EAX,CL
0042508F |. C3 RETN
堆栈:
0013FF0C 02F90016
0013FF10 00704807 L.00704807
0013FF14 00000000
0013FF18 7C801E2E kernel32.7C801E2E
0013FF1C 00702ABA L.00702ABA
0013FF20 02F9002A
0013FF24 00704807 L.00704807
0013FF28 00000000
0013FF2C 7C81CC69 kernel32.7C81CC69
...
0013FF9C 7C92E920 ntdll.7C92E920
0013FFA0 7C930228 ntdll.7C930228
0013FFA4 0013FFF0
0013FFA8 0013FFBC
0013FFAC 7FFD5000
0013FFB0 0013FFBC
0013FFB4 0013FFB0
0013FFB8 35DBDF7C
0013FFBC 0013FFE0
0013FFC0 0071A0A5 RETURN to L.0071A0A5 from L.0071A0B2
0013FFC4 7C817027 RETURN to kernel32.7C817027
0013FFC8 7C92E920 ntdll.7C92E920
感觉距离有点远~~
第二是解出来的IAT表中有个函数始终没法修复,跟了好久了,就是跟不到
拖进IDA中显示如下
第一处引用:
___:004011E9 push ebx
___:004011EA push ebx
___:004011EB push 1
___:004011ED push 0C0000005h
___:004011F2 call dword ptr byte_45C2C4
第二处引用:
___:0040226B ; ___:00402207�j ...
___:0040226B push 0
___:0040226D push 0
___:0040226F push 1
___:00402271 push 0C000008Ch
___:00402276 call dword ptr byte_45C2C4
高手帮忙猜一下是什么api??
最后是我脱出来的程序为什么修复后老崩溃??是什么原因,如果oep猜错那没办法,如果oep是对的,如何能够知道是哪里崩溃?望高手指教,谢谢。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
