用ximo大牛的zeus插件脱壳后不能跨平台(按照教程一步一步走都不行。。。)-经典问答-看雪-安全社区|安全招聘|kanxue.com

用ximo大牛的zeus插件脱壳后不能跨平台(按照教程一步一步走都不行。。。)

发表于: 2012-3-25 13:11 5573

用ximo大牛的zeus插件脱壳后不能跨平台(按照教程一步一步走都不行。。。)

liuyangder 活跃值

2012-3-25 13:11

5573

用插件脱壳后在本机运行是没问题的，按照ximo的视频修复了cpuid和随即那个anti-dump 但是跨平台还是不能运行。我在虚拟机里边跟踪了一下脱壳后的软件，发现脱壳后的软件会调用kernel32.dll里边的一个地址，在本机时候地址里边内容为：
7C884FEC 55             push ebp
7C884FED 8BEC       mov ebp,esp
7C884FEF 90             nop
7C884FF0 5D             pop ebp
7C884FF1  - E9 BA2E7D30    jmp AD057EB0
7C884FF6 90             nop
7C884FF7 90             nop

但是跨平台时候还是调用这个地址，可地址里边是空的。
我跟踪原加壳软件发现也是这样调用的。我用的是LCF脚本的一个试炼品，跟踪用脚本脱壳的软件发现脚本换了调用方式，直接就是调用kernel32.dll里边的api。
我想知道怎么处理zeus插件脱壳后出现的这种问题。。。希望大家帮忙

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 2 楼补充一下，我在XP sp3 下边脱壳在sp2下运行会出现上述情况。我在sp2下边脱壳可以在sp3上边运行。。。不知道为什么 2012-3-25 17:47 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 3 楼向上兼容而不向下兼容！！！！！！！！ 2012-3-26 01:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liuyangder

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 2 楼补充一下，我在XP sp3 下边脱壳在sp2下运行会出现上述情况。我在sp2下边脱壳可以在sp3上边运行。。。不知道为什么 2012-3-25 17:47 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 3 楼向上兼容而不向下兼容！！！！！！！！ 2012-3-26 01:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

用ximo大牛的zeus插件 脱壳后不能跨平台(按照教程一步一步走都不行。。。)

用ximo大牛的zeus插件脱壳后不能跨平台(按照教程一步一步走都不行。。。)