[求助]Native Unpackme-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 2 楼这什么壳 memcpy 了ntdll 和 kernel32的text段然后call copy过来的text段里的native api 加debug标志创建自身第二个进程貌似还有调试循环搞不定 2011-11-3 12:15 0
Perplex 雪币： 15 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 63 回帖 177 粉丝 0 关注私信	Perplex 3 楼 Thanks bitt How to bypass Anti Debug? 2011-11-5 23:49 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 4 楼这里是反调试部分，进程比较，修改OD进程名字就可以了，下面这几个函数会调用2次！ 0044ED38 8BFF MOV EDI,EDI 0044ED3A 55 PUSH EBP 0044ED3B 8BEC MOV EBP,ESP 0044ED3D 81EC C00E0000 SUB ESP,0EC0 0044ED43 A1 587A4500 MOV EAX,DWORD PTR DS:[457A58] 0044ED48 33C5 XOR EAX,EBP 0044ED4A 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 0044ED4D 56 PUSH ESI 0044ED4E 57 PUSH EDI 0044ED4F 83A5 84F7FFFF 0>AND DWORD PTR SS:[EBP-87C],0 0044ED56 6A 00 PUSH 0 0044ED58 6A 02 PUSH 2 0044ED5A FF15 102E4500 CALL DWORD PTR DS:[<&KERNEL32.CreateToolhelp32Snapshot>] ; kernel32.CreateToolhelp32Snapshot 0044ED60 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 0044ED63 C785 C8FDFFFF 2>MOV DWORD PTR SS:[EBP-238],22C 0044ED6D 8D85 C8FDFFFF LEA EAX,DWORD PTR SS:[EBP-238] 0044ED73 50 PUSH EAX 0044ED74 FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044ED77 FF15 002E4500 CALL DWORD PTR DS:[<&KERNEL32.Process32FirstW>] ; kernel32.Process32FirstW 0044ED7D 8985 80F7FFFF MOV DWORD PTR SS:[EBP-880],EAX 0044ED83 8B85 D0FDFFFF MOV EAX,DWORD PTR SS:[EBP-230] 0044ED89 3B45 0C CMP EAX,DWORD PTR SS:[EBP+C] 0044ED8C 75 11 JNZ SHORT UnpackMe.0044ED9F 0044ED8E 6A 32 PUSH 32 0044ED90 59 POP ECX 0044ED91 8DB5 ECFDFFFF LEA ESI,DWORD PTR SS:[EBP-214] 0044ED97 8DBD 40F1FFFF LEA EDI,DWORD PTR SS:[EBP-EC0] 0044ED9D F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] 0044ED9F 8B85 D0FDFFFF MOV EAX,DWORD PTR SS:[EBP-230] 0044EDA5 3B45 08 CMP EAX,DWORD PTR SS:[EBP+8] 0044EDA8 75 11 JNZ SHORT UnpackMe.0044EDBB 0044EDAA 6A 32 PUSH 32 0044EDAC 59 POP ECX 0044EDAD 8DB5 ECFDFFFF LEA ESI,DWORD PTR SS:[EBP-214] 0044EDB3 8DBD 88F7FFFF LEA EDI,DWORD PTR SS:[EBP-878] 0044EDB9 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] 0044EDBB 8D85 C8FDFFFF LEA EAX,DWORD PTR SS:[EBP-238] 0044EDC1 50 PUSH EAX 0044EDC2 FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044EDC5 FF15 182E4500 CALL DWORD PTR DS:[<&KERNEL32.Process32NextW>] ; kernel32.Process32NextW 0044EDCB 85C0 TEST EAX,EAX 0044EDCD ^ 75 B4 JNZ SHORT UnpackMe.0044ED83 0044EDCF 90 NOP 0044EDD0 8D85 88F7FFFF LEA EAX,DWORD PTR SS:[EBP-878] 0044EDD6 50 PUSH EAX 0044EDD7 8D85 40F1FFFF LEA EAX,DWORD PTR SS:[EBP-EC0] 0044EDDD 50 PUSH EAX 0044EDDE E8 23000000 CALL UnpackMe.0044EE06 //比较进程名字 0044EDE3 59 POP ECX 0044EDE4 59 POP ECX 0044EDE5 0FB6C0 MOVZX EAX,AL 0044EDE8 8985 84F7FFFF MOV DWORD PTR SS:[EBP-87C],EAX 0044EDEE 83BD 84F7FFFF 0>CMP DWORD PTR SS:[EBP-87C],0 0044EDF5 0F95C0 SETNE AL 一样返回1，不一样返回0 2011-11-6 04:08 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼代码太长了，搞不定 2011-11-6 04:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 2 楼这什么壳 memcpy 了ntdll 和 kernel32的text段然后call copy过来的text段里的native api 加debug标志创建自身第二个进程貌似还有调试循环搞不定 2011-11-3 12:15 0
Perplex 雪币： 15 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 63 回帖 177 粉丝 0 关注私信	Perplex 3 楼 Thanks bitt How to bypass Anti Debug? 2011-11-5 23:49 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 4 楼这里是反调试部分，进程比较，修改OD进程名字就可以了，下面这几个函数会调用2次！ 0044ED38 8BFF MOV EDI,EDI 0044ED3A 55 PUSH EBP 0044ED3B 8BEC MOV EBP,ESP 0044ED3D 81EC C00E0000 SUB ESP,0EC0 0044ED43 A1 587A4500 MOV EAX,DWORD PTR DS:[457A58] 0044ED48 33C5 XOR EAX,EBP 0044ED4A 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 0044ED4D 56 PUSH ESI 0044ED4E 57 PUSH EDI 0044ED4F 83A5 84F7FFFF 0>AND DWORD PTR SS:[EBP-87C],0 0044ED56 6A 00 PUSH 0 0044ED58 6A 02 PUSH 2 0044ED5A FF15 102E4500 CALL DWORD PTR DS:[<&KERNEL32.CreateToolhelp32Snapshot>] ; kernel32.CreateToolhelp32Snapshot 0044ED60 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 0044ED63 C785 C8FDFFFF 2>MOV DWORD PTR SS:[EBP-238],22C 0044ED6D 8D85 C8FDFFFF LEA EAX,DWORD PTR SS:[EBP-238] 0044ED73 50 PUSH EAX 0044ED74 FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044ED77 FF15 002E4500 CALL DWORD PTR DS:[<&KERNEL32.Process32FirstW>] ; kernel32.Process32FirstW 0044ED7D 8985 80F7FFFF MOV DWORD PTR SS:[EBP-880],EAX 0044ED83 8B85 D0FDFFFF MOV EAX,DWORD PTR SS:[EBP-230] 0044ED89 3B45 0C CMP EAX,DWORD PTR SS:[EBP+C] 0044ED8C 75 11 JNZ SHORT UnpackMe.0044ED9F 0044ED8E 6A 32 PUSH 32 0044ED90 59 POP ECX 0044ED91 8DB5 ECFDFFFF LEA ESI,DWORD PTR SS:[EBP-214] 0044ED97 8DBD 40F1FFFF LEA EDI,DWORD PTR SS:[EBP-EC0] 0044ED9D F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] 0044ED9F 8B85 D0FDFFFF MOV EAX,DWORD PTR SS:[EBP-230] 0044EDA5 3B45 08 CMP EAX,DWORD PTR SS:[EBP+8] 0044EDA8 75 11 JNZ SHORT UnpackMe.0044EDBB 0044EDAA 6A 32 PUSH 32 0044EDAC 59 POP ECX 0044EDAD 8DB5 ECFDFFFF LEA ESI,DWORD PTR SS:[EBP-214] 0044EDB3 8DBD 88F7FFFF LEA EDI,DWORD PTR SS:[EBP-878] 0044EDB9 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] 0044EDBB 8D85 C8FDFFFF LEA EAX,DWORD PTR SS:[EBP-238] 0044EDC1 50 PUSH EAX 0044EDC2 FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044EDC5 FF15 182E4500 CALL DWORD PTR DS:[<&KERNEL32.Process32NextW>] ; kernel32.Process32NextW 0044EDCB 85C0 TEST EAX,EAX 0044EDCD ^ 75 B4 JNZ SHORT UnpackMe.0044ED83 0044EDCF 90 NOP 0044EDD0 8D85 88F7FFFF LEA EAX,DWORD PTR SS:[EBP-878] 0044EDD6 50 PUSH EAX 0044EDD7 8D85 40F1FFFF LEA EAX,DWORD PTR SS:[EBP-EC0] 0044EDDD 50 PUSH EAX 0044EDDE E8 23000000 CALL UnpackMe.0044EE06 //比较进程名字 0044EDE3 59 POP ECX 0044EDE4 59 POP ECX 0044EDE5 0FB6C0 MOVZX EAX,AL 0044EDE8 8985 84F7FFFF MOV DWORD PTR SS:[EBP-87C],EAX 0044EDEE 83BD 84F7FFFF 0>CMP DWORD PTR SS:[EBP-87C],0 0044EDF5 0F95C0 SETNE AL 一样返回1，不一样返回0 2011-11-6 04:08 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼代码太长了，搞不定 2011-11-6 04:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复