[原创]脱双层壳加修复特殊的IAT-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 2 楼看了hackerpp的一篇求救帖 http://bbs.pediy.com/showthread.php?p=961332#post961332 由于本人比较懒，就写一些脱壳手记就罢了看看了于是下载了回来研究研究 ASPack 2.12 -> Alexey Solodovnikov ESP定律秒脱不懂的童鞋自己寻找一下资料哦，用IMportREC修复一下，全部指针有效，再查壳，晕死，还有一层第二层 PEncrypt 3.1 Final -> junkcode 对于这个壳，我觉得有点可笑单步跟踪就可以到达OEP 但是有一个更好的办法：直接在OD载入的地方下硬件断点 F9运行就到了OEP了开始以为用IMportREC修复一下就完了谁知道竟然有一个函数无效。尝试剪切修复，不行，o(︶︿︶)o 唉。脑袋转了转就疼得头晕（今天才刚考完数据库系统工程师，脑袋已经不堪负荷了）。但是我留意到一点了第一次用IMportREC修复的时候所有函数都有效，为什么现在会有一个函数无效了？显然是机器认不出这个函数，既然第一次修复全部有效，何不利用一下了呢？查看一下原来这个函数是CreateFontA 复制一下函数名字到那个无效的函数，然后修复程序，成功 2011-5-21 23:39 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 3 楼对于格式，无语了 2011-5-21 23:40 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 4 楼这个格式可能需要重新排下！ 2011-5-22 00:00 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 5 楼这种排版实在太前卫了 2011-5-22 01:37 0
yjd 雪币： 2882 活跃值： (1245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 6 楼楼主啊你看上传的附件：截图1306007096.png （58.25kb，161次下载） 2011-5-22 03:45 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 7 楼没看清你说什么，一进来就晕了，lz 要考虑一下看官的感受啊..... 2011-5-22 09:02 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 8 楼终于找到完全看不懂的了，不容易啊。。。。！ 2011-5-22 13:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 2 楼看了hackerpp的一篇求救帖 http://bbs.pediy.com/showthread.php?p=961332#post961332 由于本人比较懒，就写一些脱壳手记就罢了看看了于是下载了回来研究研究 ASPack 2.12 -> Alexey Solodovnikov ESP定律秒脱不懂的童鞋自己寻找一下资料哦，用IMportREC修复一下，全部指针有效，再查壳，晕死，还有一层第二层 PEncrypt 3.1 Final -> junkcode 对于这个壳，我觉得有点可笑单步跟踪就可以到达OEP 但是有一个更好的办法：直接在OD载入的地方下硬件断点 F9运行就到了OEP了开始以为用IMportREC修复一下就完了谁知道竟然有一个函数无效。尝试剪切修复，不行，o(︶︿︶)o 唉。脑袋转了转就疼得头晕（今天才刚考完数据库系统工程师，脑袋已经不堪负荷了）。但是我留意到一点了第一次用IMportREC修复的时候所有函数都有效，为什么现在会有一个函数无效了？显然是机器认不出这个函数，既然第一次修复全部有效，何不利用一下了呢？查看一下原来这个函数是CreateFontA 复制一下函数名字到那个无效的函数，然后修复程序，成功 2011-5-21 23:39 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 3 楼对于格式，无语了 2011-5-21 23:40 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 4 楼这个格式可能需要重新排下！ 2011-5-22 00:00 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 5 楼这种排版实在太前卫了 2011-5-22 01:37 0
yjd 雪币： 2882 活跃值： (1245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 6 楼楼主啊你看上传的附件：截图1306007096.png （58.25kb，161次下载） 2011-5-22 03:45 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 7 楼没看清你说什么，一进来就晕了，lz 要考虑一下看官的感受啊..... 2011-5-22 09:02 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 8 楼终于找到完全看不懂的了，不容易啊。。。。！ 2011-5-22 13:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复