-
-
[原创]ZProtect Anti-Hook 脱壳
-
发表于:
2011-11-6 00:03
9131
-
[原创]ZProtect Anti-Hook 脱壳
【文章标题】: ZProtect Anti-Hook 脱壳
【文章作者】: Smoke
【作者邮箱】: 97463448@qq.com
【作者QQ号】: 97463448
【软件名称】: Project1.zp.exe
【下载地址】: http://dl.dbank.com/c0akiyblms
【保护方式】: ZProtect
【使用工具】: OllyDbg,LordPE,ImportREC
【操作平台】: Windows Xp Sp3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
ZProtect的IAT保护里有一个anti hook功能,让我们修复起来很麻烦o(︶︿︶)o
我们先用delphi7编译一个无壳程序 然后使用ZProtect1.49进行加壳
加完壳之后 载入我们强悍的工具 OllyDbg 后,找到oep 使用esp定律即可
载入之后显示为如下:
004667F6 E8 01000000 call 004667FC
004667FB A8 87 test al, 0x87
004667FD 2C 24 sub al, 0x24
004667FF 8DAD C1FAFFFF lea ebp, dword ptr ss:[ebp-0x53F]
00466805 872C24 xchg dword ptr ss:[esp], ebp
0044E1DC 55 push ebp //下硬件执行断点
0044E1DD 8BEC mov ebp, esp
0044E1DF 83C4 F0 add esp, -0x10
0044E1E2 B8 FCDF4400 mov eax, 0044DFFC
0044E1E7 E8 E480FBFF call 004062D0
0044E1EC A1 1C004500 mov eax, dword ptr ds:[0x45001C]
0044E1F1 8B00 mov eax, dword ptr ds:[eax]
0044E1F3 E8 9CE6FFFF call 0044C894
0044E1F8 8B0D F8004500 mov ecx, dword ptr ds:[0x4500F8] ; Project1.00451BD0
0012F8F8 00A0DA0D /CALL to CreateFileA from 00A0DA07
0012F8FC 0012FAA8 |FileName = "C:\WINDOWS\system32\kernel32.dll"
0012F900 80000000 |Access = GENERIC_READ
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
