-
-
[原创]Hying的IAT解密代码
-
发表于:
2005-6-4 14:21
4163
-
Hying的新版本IAT解密代码:
PUSHAD
PUSHFD
MOV EAX,0AF0000 'iat加密区起始地址
CMP WORD PTR DS:[EAX],35FF
JNZ end
MOV EDX,DWORD PTR DS:[EAX+1C]
XOR EDX,DWORD PTR DS:[EAX+9]
MOV BYTE PTR DS:[EAX],68
MOV BYTE PTR DS:[EAX+5],0C3
CMP BYTE PTR DS:[EDX+5],0C3
JE SHORT 004E6925
CMP BYTE PTR DS:[EDX+11],0C3
JE SHORT 004E692D
MOV DWORD PTR DS:[EAX+1],EDX
JMP SHORT 004E6936
MOV ECX,DWORD PTR DS:[EDX+1]
MOV DWORD PTR DS:[EAX+1],ECX
JMP SHORT 004E6936
MOV ECX,DWORD PTR DS:[EDX+13]
SUB ECX,0C
MOV DWORD PTR DS:[EAX+1],ECX
ADD EAX,20
JMP SHORT 004E6900
POPFD
POPAD
使用方法:
直接在Ollydbg中找段空间写入如下代码(二进制粘贴):
60 9C B8 00 00 AF 00 66 81 38 FF 35 75 34 8B 50 1C 33 50 09 C6 00 68 C6 40 05 C3 80 7A 05 C3 74 0B 80 7A 11 C3 74 0D 89 50 01 EB 11 8B 4A 01 89 48 01 EB 09 8B 4A 13 83 E9 0C 89 48 01 83 C0 20 EB C5 9D 61
在代码开始新建eip,修改好几个iat加密区起始地址,重复执行几次后,在imprec中追踪级别1(Disasm)即可修复大多地址.
剩余的 jmp esp的我没想到更好的版本,我就手工跟踪的.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课