[求助]vmp脚本生成文件的api-calc-section崩溃-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]vmp脚本生成文件的api-calc-section崩溃 0.00雪花

发表于: 2011-8-8 14:20 1717

[旧帖] [求助]vmp脚本生成文件的api-calc-section崩溃 0.00雪花

pdx

2011-8-8 14:20

1717

使用脚本名称:VMProtect API Turbo Tracer 1.2
脚本执行完毕,按照LCF-AT的教程,用Lord PE把API_CALC_XXXXX.mem添加到最后一个区段并把入口点指向此段,全部区段可写入,重建PE,再在输入表新建kernel32.dll的LoadLibraryA,GetProcAddress,od载入后修改第2,3句话...
详细请见教程:http://forum.tuts4you.com/index.php?showtopic=24390&st=0
用od载入修改好的dump,执行到105002E(一条mov语句)后一下子转到ntdll.7c92eaf0,继续执行,崩溃
难道是内存非法访问?为什么会发生这种情况呢?
如图

[注意]APP应用上架合规检测服务，协助应用顺利上架！

上传的附件：

screen.JPG （214.85kb，37次下载）

收藏・0

免费・0

支持

最新回复 (1)
pdx 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 96 粉丝 0 关注私信	pdx 2 楼哈哈,dump下来的程序能在本机运行了(但其他机器不行) 其实是增加了一些小的代码首先通过拦VirtualProtect,与对12ffc0下硬件断点跟到oep 然后ctrl+b搜索00 00 00 00写上: push ebp push xxxxxx(此时堆栈里的值) jmp oep 设push ebp的地址为当前eip,然后dump... 然后这样就能在本机运行了(我也不知道原理,有谁能教我一下吗~) 但是只要在section中加上api_calc_xxxxxx.mem,就会崩溃,崩溃在LoadLibraryA函数可能重建输入表的部分才是重点吧~~ 2011-8-8 16:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

pdx

雪币： 238

活跃值： (11)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

pdx: 2 楼

哈哈,dump下来的程序能在本机运行了(但其他机器不行)
其实是增加了一些小的代码
首先通过拦VirtualProtect,与对12ffc0下硬件断点跟到oep
然后ctrl+b搜索00 00 00 00写上:
push ebp
push xxxxxx(此时堆栈里的值)
jmp oep
设push ebp的地址为当前eip,然后dump...
然后这样就能在本机运行了(我也不知道原理,有谁能教我一下吗~)
但是只要在section中加上api_calc_xxxxxx.mem,就会崩溃,崩溃在LoadLibraryA函数
可能重建输入表的部分才是重点吧~~

2011-8-8 16:48