首页
社区
课程
招聘
safeguard1.01版主程序脱壳完全Script
发表于: 2005-6-19 18:14 12500

safeguard1.01版主程序脱壳完全Script

2005-6-19 18:14
12500
收藏
免费 7
支持
分享
最新回复 (7)
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
2
希望这个脚本对simonzh有所帮助,特别是对iat的处理,虽然加密函数很复杂,但是传递给这个函数参数时漏洞太大:

0041E195    E8 79DBFFFF     CALL safeguar.0041BD13

0012FF98   003A004D  |Arg1 = 003A004D
0012FF9C   77E5D8B4  |Arg2 = 77E5D8B4
0012FFA0   00000000  \Arg3 = 00000000

EAX 003A004D
ECX 77E5D8B4 kernel32.LoadLibraryA
EDX 7FFE0304
EBX 00413000 safeguar.00413000
ESP 0012FF98
EBP 00013000
ESI 00416633 safeguar.00416633
EDI 0072C794
EIP 0041E195 safeguar.0041E195

修改iat处理代码:

0041BD13    55              PUSH EBP
0041BD14    8BEC            MOV EBP,ESP
0041BD16    60              PUSHAD
0041BD17    8B7D 08         MOV EDI,DWORD PTR SS:[EBP+8]             ; 003A0000
0041BD1A    8B75 0C         MOV ESI,DWORD PTR SS:[EBP+C]             ; Stack SS:[0012FF9C]=77E5B285 (kernel32.GetProcAddress)

很容易修改成自动恢复的
2005-6-19 18:31
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
3
快枪手,学习学习,感谢ing.....
2005-6-19 19:43
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
safeguard1.01版主程序脱壳完全Script

脱出来的主程序 楼主提供一下
!
2005-6-19 20:30
0
雪    币: 398
活跃值: (1078)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
5
脚本我还看不大懂, 学习一下.

这个是否只能用于主程序?
2005-6-19 21:54
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
6
只能用于主程序,因为有些关键点的定位使用的是程序的地址。
2005-6-20 06:57
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
7
呵呵,职业杀手
2005-6-20 15:06
0
雪    币: 100
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
下次再看!~
呵呵!~
2005-6-21 08:41
0
游客
登录 | 注册 方可回帖
返回
//