首页
社区
课程
招聘
<<求助>>Fly大哥。您的文章有我不太懂的地方。
发表于: 2005-11-17 00:32 4339

<<求助>>Fly大哥。您的文章有我不太懂的地方。

2005-11-17 00:32
4339
FLY以前有写过一个“MoleBox Pro V2.3.3的主程序”脱壳的教材。
其中有:
1.把这个PE头数据保存下来存为1.bin

BP GetModuleHandleA 中断后取消断点
0012F2D4  004375D8 /CALL 到 GetModuleHandleA 来自 mbox2w.004375D2
0012F2D8  781199C8 \pModule = "KERNEL32.DLL"
MSVCP60.dll开始处理输入表了。

用LodPE把mbox2w.exe进程里的MSVCP60.dll Dump下来,存为MSVCP60_Dump.dll
用刚才获取的PE头数据覆盖MSVCP60_Dump.dll的PE头

((请问如何覆改,要一一比对用手来输入吗??))
2.这些call有的是解码,有的是把运行后的解码重新加密。直接运行原版,定位在这些call上面的push处,新建EIP运行,等其解码后复制进脱壳后的文件里面。然后再nop掉这些push和call。
((请问“定位在这些call上面的push处”,是不是在哪里下一个断点,“新建EIP运行”是如何操作的??
”等其解码后复制进脱壳后的文件里面“我怎么直到什么时候解码好了,要怎么复制到相应的脱壳的代码位置??

以上,请帮我解答一下。谢谢!!

如果您有时间可否给作个动画供我们学习一下。

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 238
活跃值: (326)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
2
随便找一个十六进制编辑器即可拷贝覆盖。
另外在OD中也可利用二进制拷贝功能完成,然后用复制到文件命令将结果写入文件。
新建EIP,在OD中将光标移动到你所需要的地方,然后按Ctrl+*即可。
查看解码程序查找一个循环体,循环体后的一句既是下断点的地方,也可将光标移到这个位置,按F4直接运行到光标处。
2005-11-17 03:09
0
雪    币: 207
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
用刚才获取的PE头数据覆盖MSVCP60_Dump.dll的PE头
我用Ultraedit打开获取的pe头的文件和MSVCP60_Dump.dll的文件,如果将获取的pe头的数据复制到MSVCP60_Dump.dll的文件中,但并没修改好,而是增加了代码。

一个笨笨的学生求教。

谢谢大哥的回复
2005-11-17 08:56
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
用WinHex
复制好16进制代码后 “写入” 到目标文件相应位置
2005-11-17 09:06
0
雪    币: 207
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
如果方便可以给我作个动画教教我吗??

再次感谢!!
2005-11-17 09:16
0
雪    币: 207
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
这些call有的是解码,有的是把运行后的解码重新加密。直接运行原版,定位在这些call上面的push处,新建EIP运行,等其解码后复制进脱壳后的文件里面。然后再nop掉这些push和call。
((请问“定位在这些call上面的push处”,是不是在哪里下一个断点,“新建EIP运行”是如何操作的??
”等其解码后复制进脱壳后的文件里面“我怎么知道什么时候解码好了,解码了些什么代码,要怎么复制到相应的脱壳的代码位置??

这个我还是不太明白。能再给我说明一下吗??
2005-11-17 09:19
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
7
上面gzgzlxg已经给你解答了
如何知道解码好了?功到自然成,等你到一定程序就会看的出的
多熟悉工具的操作技巧,工具如何使用需要你自己去掌握
2005-11-17 09:39
0
游客
登录 | 注册 方可回帖
返回
//