壳名称:Krypton 壳用到的技术:1:用到构造异常、检测关键API软件断点、大量的垃圾代码和跳转指令来anti-debug、也会删除部分代码Anti-DUMP 工具:OD、ProcDump32、ImportREC 脱壳过程: 1:定位kernerl32和GetProcAddress等函数(bp 0044bcca可以找到GetProcAddress) 2:VirtualAlloc 一段壳代码地址(XXX0000) (bp 0044be4b 可以找到跳转) 3:外壳代码会产生2个异常 (xxxx3399、xxxx36c7 ) (bp xxxx3399;bp xxxx36c7;4下shift+F9) 4:还源肉代码 (bp xxxx002e获取肉代码的段数; xxxx011c 获取肉代码段地址 xxxx0145 获取段大小 xxxx02fd xxxx00f5获取下一段地址 xxxx0145获取段大小) 5:异常(xxxx0ac5) 6:(xxxx105d 注册表函数 xxxx1252 GetCommandLine xxxx2400)继续解密肉代码 可以跳转去00401000看IAT的位置了 7:(可以在GetProcAddress下硬断进入 crtl+F9 F8进入加密 IAT的代码) 8:NOP掉(XXXX28BE XXXX28C0 加密函数名 XXXX30D5写入加密地址 XXXX3923 ANTI-DUMP) 9:异常(XXXX39DD) 10:JMP OEP DUMP程序 修复IAT练手程序: KRYPTON.rar
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
