ACProtect壳这样分析对吗-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ACProtect壳这样分析对吗

发表于: 2006-2-16 04:40 3775

ACProtect壳这样分析对吗

刀影飞舞

2006-2-16 04:40

3775

EAX 7C800000 kernel32.7C800000
ECX 7C80E82B kernel32.7C80E82B
EDX 7C99C0D8 ntdll.7C99C0D8
EBX 00581904 ASCII "kernel32.dll"
ESP 0012FF54
EBP 0027B000
ESI 00581000 GoodName.00581000
EDI 2F7ADDA6
EIP 0069086B GoodName.0069086B

0069086B时ESI＝00581000，[esi+C]＝[0058100C]=00 00，而EBX＝00581904 ASCII

"KERNEL32.dll" 是第一个处理的DLL名，所以可以确定[0058100C]=00181904 修改

LordPE完全Dump出这个进程，修正dumped.exe的Import Table RVA=00181000

============================================
上面个你的分析下面这个就是我的那程序不知道我这样分析对不对,如有误请大老指点
============================================
EAX 7C800000 kernel32.7C800000
ECX 7C80E82B kernel32.7C80E82B
EDX 7C99C0D8 ntdll.7C99C0D8
EBX 004BDFFA ASCII "KERNEL32.dll"
ESP 0012FF5C
EBP 032FD000 Securom.032FD000
ESI 004BCF20 Securom.004BCF20
EDI 0025BC41
EIP 0371286B Securom.0371286B

我这个程序
03712868ESI＝004BCF20, [esi+C]=[004BCF2C]=00 00, EBX＝004BDFFA ASCII

"KERNEL32.dll" 是第一个处理的DLL名, 所以可以确定[004BCF2C]=000BDFFA

LordPE完全Dump出这个进程，修正dumped.exe的Import Table RVA=000BCF2C

=================================================

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 2 楼 lpImportTable = lpIID = lpDllName - 0C 2006-2-16 11:29 0
刀影飞舞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 34 粉丝 0 关注私信	刀影飞舞 3 楼我知道了谢谢了.另外想问下.这样的壳我脱过来比以前的程序大很多,原程序才几百K而这样解出来50多M 2006-2-17 00:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

刀影飞舞

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 2 楼 lpImportTable = lpIID = lpDllName - 0C 2006-2-16 11:29 0
刀影飞舞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 34 粉丝 0 关注私信	刀影飞舞 3 楼我知道了谢谢了.另外想问下.这样的壳我脱过来比以前的程序大很多,原程序才几百K而这样解出来50多M 2006-2-17 00:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复