最近学习脱壳,在网上下了个softdefender加壳工具共享版。加壳工具本身就是用softdefender加的壳。就拿来试了下。希望高手多指教。
OD版本是OllyICE,用StrongOD隐藏插件隐藏OD。除BreakOnTls RemoveEPone-shot BreakOnLdr其它都选上。
PhantOm options选上protect DRx.
1.双进程转单进程
softdefender双进程转单进程参考peaceclub的方法。贴子中有详细介绍,为了完整性,我也还是再描述一下。
用kerberos加载程序,点击inject。生成rep文件。
SoftDefender | 004CCD53 | GetCommandLineA() returns: 002523A0
SoftDefender | 004CCDBF | CreateProcessA(00000000, 004CC24C: "F:\tools\hack\", 00000000, 00000000, 00000001, 00000000, 00000000, 00000000, 004CC350, 004CC23C) returns: 00000001
SoftDefender | 004CCDD7 | ExitProcess(00000000)
004CCD32 0010 add byte ptr [eax], dl
004CCD34 40 inc eax
004CCD35 00E8 add al, ch
004CCD37 0F84 9A000000 je 004CCDD7 ;修改z标志位跳转实现
004CCD3D E8 01000000 call 004CCD43
004C9E10 8917 mov dword ptr [edi], edx
004C9E12 83C7 04 add edi, 0x4
004C9E15 49 dec ecx
004C9E16 ^ 75 F3 jnz short 004C9E0B
004C9F5A F7D8 neg eax
004C9F5C 83C4 0C add esp, 0xC
004C9F5F 5A pop edx
004C9F60 59 pop ecx
004C9F61 5B pop ebx
004C9F62 5E pop esi
004C9F63 5F pop edi
004C9F64 5D pop ebp
004C9F65 C3 retn
004D3B4A 8B17 mov edx, dword ptr [edi]
004D3B4C 8B47 10 mov eax, dword ptr [edi+0x10]
004D3B4F 0BD0 or edx, eax
004D3B51 0F84 0B050000 je 004D4062
004D3DE2 E8 11F4FFFF call 004D31F8 ;这个call调用完edi出现函数名
004D3DE7 8B8424 44040000 mov eax, dword ptr [esp+0x444]
004D3DEE 85C0 test eax, eax
004D3DF0 0F84 D7010000 je 004D3FCD ;改为jmp
004D3DF6 8B4424 18 mov eax, dword ptr [esp+0x18]
004D3DFA 85C0 test eax, eax
004D401A 8B5C24 34 mov ebx, dword ptr [esp+0x34]
004D401E 8B7C24 20 mov edi, dword ptr [esp+0x20]
004D4022 83C5 04 add ebp, 0x4
004D4025 83C6 04 add esi, 0x4
004D4028 ^ E9 BAFCFFFF jmp 004D3CE7
004D402D E8 35E4FFFF call 004D2467 ;此处 为校验call f7步入
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!