首页
社区
课程
招聘
[分享]Kyton脱壳
发表于: 2013-12-19 11:16 5360

[分享]Kyton脱壳

2013-12-19 11:16
5360

壳名称:Krypton
    壳用到的技术:1:用到构造异常、检测关键API软件断点、大量的垃圾代码和跳转指令来anti-debug、也会删除部分代码Anti-DUMP

工具:OD、ProcDump32、ImportREC
脱壳过程:
1:定位kernerl32和GetProcAddress等函数(bp 0044bcca可以找到GetProcAddress)
2:VirtualAlloc 一段壳代码地址(XXX0000)  (bp 0044be4b 可以找到跳转)
3:外壳代码会产生2个异常 (xxxx3399、xxxx36c7 ) (bp xxxx3399;bp xxxx36c7;4下shift+F9)
4:还源肉代码 (bp xxxx002e获取肉代码的段数; xxxx011c 获取肉代码段地址 xxxx0145 获取段大小  xxxx02fd  xxxx00f5获取下一段地址 xxxx0145获取段大小)
5:异常(xxxx0ac5)
6:(xxxx105d 注册表函数 xxxx1252 GetCommandLine xxxx2400)继续解密肉代码
可以跳转去00401000看IAT的位置了
7:(可以在GetProcAddress下硬断进入 crtl+F9 F8进入加密 IAT的代码)
8:NOP掉(XXXX28BE XXXX28C0 加密函数名 XXXX30D5写入加密地址  XXXX3923 ANTI-DUMP)
9:异常(XXXX39DD)
10:JMP OEP DUMP程序 修复IAT

练手程序: KRYPTON.rar


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 5
支持
分享
最新回复 (3)
雪    币: 19
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
不知所云。。
2013-12-19 12:33
0
雪    币: 47
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
你把程序下来脱就知道了
2013-12-19 12:51
0
雪    币: 9
活跃值: (374)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
做个教程?
2013-12-19 16:56
0
游客
登录 | 注册 方可回帖
返回
//