首页
社区
课程
招聘
[原创]ZProtect Anti-Hook 脱壳
发表于: 2011-11-6 00:03 9130

[原创]ZProtect Anti-Hook 脱壳

2011-11-6 00:03
9130

【文章标题】: ZProtect Anti-Hook 脱壳
【文章作者】: Smoke
【作者邮箱】: 97463448@qq.com
【作者QQ号】: 97463448
【软件名称】: Project1.zp.exe
【下载地址】: http://dl.dbank.com/c0akiyblms
【保护方式】: ZProtect
【使用工具】: OllyDbg,LordPE,ImportREC
【操作平台】: Windows Xp Sp3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
ZProtect的IAT保护里有一个anti hook功能,让我们修复起来很麻烦o(︶︿︶)o
我们先用delphi7编译一个无壳程序 然后使用ZProtect1.49进行加壳
加完壳之后 载入我们强悍的工具 OllyDbg 后,找到oep 使用esp定律即可
载入之后显示为如下:

  004667F6     E8 01000000          call    004667FC
  004667FB     A8 87                test    al, 0x87
  004667FD     2C 24                sub     al, 0x24
  004667FF     8DAD C1FAFFFF        lea     ebp, dword ptr ss:[ebp-0x53F]
  00466805     872C24               xchg    dword ptr ss:[esp], ebp
  0044E1DC     55                   push    ebp          //下硬件执行断点 
  0044E1DD     8BEC                 mov     ebp, esp
  0044E1DF     83C4 F0              add     esp, -0x10
  0044E1E2     B8 FCDF4400          mov     eax, 0044DFFC
  0044E1E7     E8 E480FBFF          call    004062D0
  0044E1EC     A1 1C004500          mov     eax, dword ptr ds:[0x45001C]
  0044E1F1     8B00                 mov     eax, dword ptr ds:[eax]
  0044E1F3     E8 9CE6FFFF          call    0044C894
  0044E1F8     8B0D F8004500        mov     ecx, dword ptr ds:[0x4500F8]        ; Project1.00451BD0
  0012F8F8   00A0DA0D  /CALL to CreateFileA from 00A0DA07
  0012F8FC   0012FAA8  |FileName = "C:\WINDOWS\system32\kernel32.dll"
  0012F900   80000000  |Access = GENERIC_READ

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 6
支持
分享
最新回复 (1)
雪    币: 5334
活跃值: (3724)
能力值: ( LV13,RANK:283 )
在线值:
发帖
回帖
粉丝
2
加壳后的程序中分配了好多内存啊
2012-8-4 15:46
0
游客
登录 | 注册 方可回帖
返回
//