关于SVKP 1.3x -> Pavol Cerven脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 2 楼 0012FCFB E8 00000000 call 0012FD00 0012FD00 5D pop ebp 0012FD01 E8 02000000 call 0012FD08 0012FD06 CD20 83042408 vxdcall 8240483 0012FD0C C3 retn 以上的程序是在堆栈里运行的，所以具体地址可能不同。你可以在最后一次典型中断(BOUND EAX, ...)发生时，在SEH所在的内存区间里，找特征码：“CMPDWORD PTR DS:[EBX], 251097CC”。 2006-1-18 03:29 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 3 楼首先感谢你呀我已找到了入口点,但脱壳下来,程序一闪就过,是什么原因,能详细告诉我怎么样可以完整修复. 2006-1-19 00:10 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 4 楼这个我已经找到了,在401000下断就进入了入口 0012FCFB E8 00000000 call 0012FD00 0012FD00 5D pop ebp 0012FD01 E8 02000000 call 0012FD08 0012FD06 CD20 83042408 vxdcall 8240483 0012FD0C C3 retn 这时应该怎么样修复这个软件,有没有比较好的方法,盼... 还是用tc下断来观察 2006-1-19 00:13 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 5 楼我没有具体脱过这个程序。不过，对于SVKP来说，主要需处理以下两个问题： - IAT表：按教程里说的处理即可。 - Stolen bytes：可以用ESP定律断下来，具体如下 * 记下程序入口时，第一个pusha后的ESP值； * 在IAT处理后，在记下的ESP处下HR断点； * 断下时，应该在堆栈里； * 在OEP下断，然后run trace直到OEP； * 在trace log窗口中，非堆栈段的代码就是变形后的stolen bytes； * 你可以手工分析，恢复stolen bytes；也可以把stolen bytes拷贝到SVKP入口处（去掉不必要的jmp），不过这时OEP就变成SVKP入口了。 2006-1-19 03:28 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 6 楼后面就弄不清楚了,能不能把软件做一个教程,我的QQ是8592815 2006-1-19 22:03 0
sas 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 81 粉丝 0 关注私信	sas 7 楼用2次内存中断方法，很快就可以到达入口点，关键难度在iat修复上，搞不定 2006-4-20 11:42 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 8 楼最初由 sas* 发布* 用2次内存中断方法，很快就可以到达入口点，关键难度在iat修复上，搞不定难度并不在这里，sdk算是这个壳里难点的东西了，不过用教本还是处理的比较好的 2006-4-20 12:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 2 楼 0012FCFB E8 00000000 call 0012FD00 0012FD00 5D pop ebp 0012FD01 E8 02000000 call 0012FD08 0012FD06 CD20 83042408 vxdcall 8240483 0012FD0C C3 retn 以上的程序是在堆栈里运行的，所以具体地址可能不同。你可以在最后一次典型中断(BOUND EAX, ...)发生时，在SEH所在的内存区间里，找特征码：“CMPDWORD PTR DS:[EBX], 251097CC”。 2006-1-18 03:29 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 3 楼首先感谢你呀我已找到了入口点,但脱壳下来,程序一闪就过,是什么原因,能详细告诉我怎么样可以完整修复. 2006-1-19 00:10 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 4 楼这个我已经找到了,在401000下断就进入了入口 0012FCFB E8 00000000 call 0012FD00 0012FD00 5D pop ebp 0012FD01 E8 02000000 call 0012FD08 0012FD06 CD20 83042408 vxdcall 8240483 0012FD0C C3 retn 这时应该怎么样修复这个软件,有没有比较好的方法,盼... 还是用tc下断来观察 2006-1-19 00:13 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 5 楼我没有具体脱过这个程序。不过，对于SVKP来说，主要需处理以下两个问题： - IAT表：按教程里说的处理即可。 - Stolen bytes：可以用ESP定律断下来，具体如下 * 记下程序入口时，第一个pusha后的ESP值； * 在IAT处理后，在记下的ESP处下HR断点； * 断下时，应该在堆栈里； * 在OEP下断，然后run trace直到OEP； * 在trace log窗口中，非堆栈段的代码就是变形后的stolen bytes； * 你可以手工分析，恢复stolen bytes；也可以把stolen bytes拷贝到SVKP入口处（去掉不必要的jmp），不过这时OEP就变成SVKP入口了。 2006-1-19 03:28 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 6 楼后面就弄不清楚了,能不能把软件做一个教程,我的QQ是8592815 2006-1-19 22:03 0
sas 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 81 粉丝 0 关注私信	sas 7 楼用2次内存中断方法，很快就可以到达入口点，关键难度在iat修复上，搞不定 2006-4-20 11:42 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 8 楼最初由 sas* 发布* 用2次内存中断方法，很快就可以到达入口点，关键难度在iat修复上，搞不定难度并不在这里，sdk算是这个壳里难点的东西了，不过用教本还是处理的比较好的 2006-4-20 12:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复