-
-
<<求助>>Fly大哥。您的文章有我不太懂的地方。
-
发表于:
2005-11-17 00:32
4339
-
<<求助>>Fly大哥。您的文章有我不太懂的地方。
FLY以前有写过一个“MoleBox Pro V2.3.3的主程序”脱壳的教材。
其中有:
1.把这个PE头数据保存下来存为1.bin
BP GetModuleHandleA 中断后取消断点
0012F2D4 004375D8 /CALL 到 GetModuleHandleA 来自 mbox2w.004375D2
0012F2D8 781199C8 \pModule = "KERNEL32.DLL"
MSVCP60.dll开始处理输入表了。
用LodPE把mbox2w.exe进程里的MSVCP60.dll Dump下来,存为MSVCP60_Dump.dll
用刚才获取的PE头数据覆盖MSVCP60_Dump.dll的PE头
((请问如何覆改,要一一比对用手来输入吗??))
2.这些call有的是解码,有的是把运行后的解码重新加密。直接运行原版,定位在这些call上面的push处,新建EIP运行,等其解码后复制进脱壳后的文件里面。然后再nop掉这些push和call。
((请问“定位在这些call上面的push处”,是不是在哪里下一个断点,“新建EIP运行”是如何操作的??
”等其解码后复制进脱壳后的文件里面“我怎么直到什么时候解码好了,要怎么复制到相应的脱壳的代码位置??
以上,请帮我解答一下。谢谢!!
如果您有时间可否给作个动画供我们学习一下。
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!