(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]

发表于: 2006-3-8 09:39 65682

(高手就不要看了！)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]

林海雪原

2006-3-8 09:39

65682

查看主题内容

收藏・2

免费・7

支持

最新回复 (163) ◀ 1 2 3 4 5 6 7 ▶
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 76 楼 011802F3 55 push ebp 011802F4 EB 02 jmp short 011802F8 011802F6 CD20 1BEA8BEC vxdjump EC8BEA1B 011802FC 6A FF push -1 011802FE 50 push eax 011802FF 66:9C pushfw 01180301 53 push ebx 01180302 81DB E8A90959 sbb ebx, 5909A9E8 01180308 81F3 4060C549 xor ebx, 49C56040 0118030E 8D5C24 1D lea ebx, [esp+1D] 01180312 EB 01 jmp short 01180315 01180314 E8 8D5C2BE3 call E4435FA6 01180319 EB 02 jmp short 0118031D 0118031B CD20 2BDD8D5B vxdjump 5B8DDD2B 01180321 06 push es 01180322 36:EB 01 jmp short 01180326 01180325 9A 68003A4E 008>call far 8F00:4E3A0068 0118032C 035B 66 add ebx, [ebx+66] 0118032F 9D popfd 01180330 E9 6C010000 jmp 011804A1 01180335 68 7C041801 push 118047C 0118033A E8 C1FC0500 call 011E0000 0118033F 56 push esi 01180340 66:9C pushfw 01180342 51 push ecx 01180343 33CD xor ecx, ebp 这个是OEP，也不知道找对了没有。我用OD dump出来时，选择Rebuild import，选项1dump出来是程序错误，选项2/LoadPE完整转存/OD不选择Rebuild import　dump出来都是C000005错误；后面三种用importRec修复后，和第一种报一样错误。目前我还没有研究到VM代码那块，很是郁闷。下面这个是记事本的OEP： 0100739D 6A 70 push 70 0100739F 68 98180001 push 01001898 010073A4 E8 BF010000 call 01007568 010073A9 33DB xor ebx, ebx 010073AB 53 push ebx 010073AC 8B3D CC100001 mov edi, [10010CC] ; kernel32.GetModuleHandleA 010073B2 FFD7 call edi 010073B4 66:8138 4D5A cmp word ptr [eax], 5A4D 010073B9 75 1F jnz short 010073DA 010073BB 8B48 3C mov ecx, [eax+3C] 010073BE 03C8 add ecx, eax 010073C0 8139 50450000 cmp dword ptr [ecx], 4550 010073C6 75 12 jnz short 010073DA 010073C8 0FB741 18 movzx eax, word ptr [ecx+18] 010073CC 3D 0B010000 cmp eax, 10B 010073D1 74 1F je short 010073F2 010073D3 3D 0B020000 cmp eax, 20B 010073D8 74 05 je short 010073DF 010073DA 895D E4 mov [ebp-1C], ebx 010073DD EB 27 jmp short 01007406 010073DF 83B9 84000000 0>cmp dword ptr [ecx+84], 0E 010073E6 ^ 76 F2 jbe short 010073DA 010073E8 33C0 xor eax, eax 010073EA 3999 F8000000 cmp [ecx+F8], ebx 010073F0 EB 0E jmp short 01007400 dump操作和上面的一样，直接dump出来执行是C0000005错误，修复后不能运行，双击后没反应，OD载入修复后的程序，跟了一会儿进一个函数，再F7，进到这儿了： 010070D4 8BFF mov edi, edi ; kernel32.GetModuleHandleA 010070D6 55 db 55 ; CHAR 'U' 010070D7 8B db 8B 010070D8 EC db EC 010070D9 83 db 83 010070DA EC db EC 010070DB 10 db 10 010070DC A1 db A1 010070DD 04960001 dd od_dump_.01009604 010070E1 85 db 85 010070E2 C0 db C0 010070E3 74 db 74 ; CHAR 't' 010070E4 07 db 07 010070E5 3D db 3D ; CHAR '=' 010070E6 40 db 40 ; CHAR '@' 010070E7 BB db BB 010070E8 00 db 00 010070E9 00 db 00 010070EA 75 db 75 ; CHAR 'u' 010070EB 4D db 4D ; CHAR 'M' 010070EC 56 db 56 ; CHAR 'V' 010070ED 8D db 8D 010070EE 45 db 45 ; CHAR 'E' 010070EF F8 db F8 010070F0 50 db 50 ; CHAR 'P' 后面再F8，就报错，代码区白板了。。。 2006-3-28 10:07 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 77 楼 dump它的VM区段没有全! 在OD中调试dump后的文件,看看它要访问哪个段,在在原文件中dump对应段,贴在后面;如果已全部dump了所有VM段,仍有这个错,就看看你的你的虚以地址与原文件一样不. 2006-3-28 10:27 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 78 楼好，谢谢。我再试试。导出VM段这块有没有好的原理性的教程可以推荐一下？ 2006-3-28 10:30 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 79 楼最初由林海雪原* 发布* 关于dump ,z我没有做,走到伪oep之后,所有要访问的段都要吧? 哪一处patch? 就是system的那段patch！ 0054B000--BE 01000000 MOV ESI,1 ;ESI=1取出API,ESI=2重定位API 0054B005--B8 00005C00 MOV EAX,MultiTra.005C0000 ;IAT 檫始位址 0054B00A--A3 F4AF5400 MOV DWORD PTR DS:[54AFF4],EAX 0054B00F--BA 00104000 MOV EDX,MultiTra ;CODE 檫始位址 0054B014--803A E8 CMP BYTE PTR DS:[EDX],0E8 ;是否 CALL ?? 0054B017--75 19 JNZ SHORT MultiTra.0054B032 0054B019--8B5A 01 MOV EBX,DWORD PTR DS:[EDX+1] 0054B01C--03DA ADD EBX,EDX 0054B01E--83C3 05 ADD EBX,5 ;?算正催的 CALL ADDR 0054B021--81FB 0000EA00 CMP EBX,0EA0000 ;是否 ASPR 解瘁位址?? 0054B027--75 2C JNZ SHORT MultiTra.0054B055 0054B029--60 PUSHAD ;保存寄存器 0054B02A--8925 F0AF5400 MOV DWORD PTR DS:[54AFF0],ESP ;保存 ESP 值 0054B030--FFE2 JMP EDX ;咄入ASPR 解瘁 0054B032--66:813A FF25 CMP WORD PTR DS:[EDX],25FF ;是否 JMP [XX]? 0054B037--75 1C JNZ SHORT MultiTra.0054B055 0054B039--8B5A 02 MOV EBX,DWORD PTR DS:[EDX+2] 0054B03C--81FB 08D25400 CMP EBX,MultiTra.0054D208 ;是否在原?IAT位址惯? 0054B042--72 11 JB SHORT MultiTra.0054B055 ;小於 54D208? 0054B044--81FB 08E25400 CMP EBX,MultiTra.0054E208 0054B04A--77 09 JA SHORT MultiTra.0054B055 ;大於 54E208? 0054B04C--8B1B MOV EBX,DWORD PTR DS:[EBX] 0054B04E--83FE 01 CMP ESI,1 ;ESI=1?? 0054B051--74 26 JE SHORT MultiTra.0054B079 0054B053--EB 4B JMP SHORT MultiTra.0054B0A0 0054B055--42 INC EDX ;??器 +1 0054B056--81FA 00505400 CMP EDX,MultiTra.00545000 0054B05C--72 B6 JB SHORT MultiTra.0054B014 ;CODE 段劫束? 0054B05E--EB FE JMP SHORT MultiTra.0054B05E ;Patch 劫束中?? 0054B060--90 NOP ;<=取得 API 返回? 0054B061--8BDA MOV EBX,EDX 0054B063--891D F8AF5400 MOV DWORD PTR DS:[54AFF8],EBX ;保存 API 0054B069--8B25 F0AF5400 MOV ESP,DWORD PTR DS:[54AFF0] ;取回 ESP 0054B06F--61 POPAD ;?原寄存器 0054B070--8B1D F8AF5400 MOV EBX,DWORD PTR DS:[54AFF8] ;取出 API 0054B076--EB D6 JMP SHORT MultiTra.0054B04E 0054B078--90 NOP 0054B079--8B0D F4AF5400 MOV ECX,DWORD PTR DS:[54AFF4] 0054B07F--B8 00005C00 MOV EAX,MultiTra.005C0000 ;IAT 檫始位址 0054B084--3918 CMP DWORD PTR DS:[EAX],EBX 0054B086--74 CD JE SHORT MultiTra.0054B055 ;是否重妖?? 0054B088--05 04000000 ADD EAX,4 0054B08D--3BC1 CMP EAX,ECX 0054B08F--72 F3 JB SHORT MultiTra.0054B084 0054B091--8919 MOV DWORD PTR DS:[ECX],EBX ;保存 API 0054B093--8305 F4AF5400 04ADD DWORD PTR DS:[54AFF4],4 ;指到下? API ADDR 0054B09A--EB B9 JMP SHORT MultiTra.0054B055 0054B09C--90 NOP 0054B09D--90 NOP 0054B09E--90 NOP 0054B09F--90 NOP 0054B0A0--B8 00005C00 MOV EAX,MultiTra.005C0000 ;IAT 檫始位址 0054B0A5--3918 CMP DWORD PTR DS:[EAX],EBX 0054B0A7--74 0E JE SHORT MultiTra.0054B0B7 ;是否找到?? 0054B0A9--05 04000000 ADD EAX,4 0054B0AE--3D 6C085C00 CMP EAX,MultiTra.005C086C ;IAT 劫束位址? 0054B0B3--72 F0 JB SHORT MultiTra.0054B0A5 0054B0B5--EB FE JMP SHORT MultiTra.0054B0B5 0054B0B7--66:C702 FF25 MOV WORD PTR DS:[EDX],25FF ;修正? JMP 0054B0BC--2D 00005C00 SUB EAX,MultiTra.005C0000 0054B0C1--05 00105C00 ADD EAX,5C1000 ;修正 OFFSET 0054B0C6--8942 02 MOV DWORD PTR DS:[EDX+2],EAX ;重定位 ADDR 0054B0C9--EB 8A JMP SHORT MultiTra.0054B055 0054B0CB--90 NOP 0054B0CC--90 NOP 0054B0CD--90 NOP 0054B0CE--90 NOP 0054B0CF--90 NOP ;排序 API 0054B0D0--B9 2C085C00 MOV ECX,MultiTra.005C082C ;IAT 劫束位址 0054B0D5--BE 00005C00 MOV ESI,MultiTra.005C0000 ;IAT 檫始位址 0054B0DA--8BFE MOV EDI,ESI 0054B0DC--8B06 MOV EAX,DWORD PTR DS:[ESI] 0054B0DE--8B1F MOV EBX,DWORD PTR DS:[EDI] 0054B0E0--3BC3 CMP EAX,EBX 0054B0E2--76 05 JBE SHORT MultiTra.0054B0E9 0054B0E4--93 XCHG EAX,EBX ;如果大於?互? 0054B0E5--8906 MOV DWORD PTR DS:[ESI],EAX 0054B0E7--891F MOV DWORD PTR DS:[EDI],EBX 0054B0E9--83C7 04 ADD EDI,4 0054B0EC--3BF9 CMP EDI,ECX 0054B0EE--76 EC JBE SHORT MultiTra.0054B0DC ;LOOP X1 0054B0F0--83C6 04 ADD ESI,4 0054B0F3--3BF1 CMP ESI,ECX 0054B0F5--76 E3 JBE SHORT MultiTra.0054B0DA ;LOOP X2 0054B0F7--EB FE JMP SHORT MultiTra.0054B0F7 ;排序劫束我是按照这个打的patch并没有象你教程中那样改变过！当然里面的地址都替换了！在取esi=1时出现异常，单步跟踪发现是在进入asp解析后出现异常！！！！！不知道何解！jmp处我是选择MOV EAX,700这个地方的！ BTW：期间没有下断点！ 2006-3-28 11:43 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 80 楼 to killalarm : 我破文中的红色patch部份要加上的 2006-3-28 11:48 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 81 楼 MOV DWORD PTR DS:[54AFF0],ESP ;保存 ESP 值 MOV DWORD PTR DS:[54AFE0],EDX ；解码前保存原地址 JMP EDX ;咄入ASPR 解瘁 …………………… NOP ;<=取得 API 返回? pushad Mov eax，IAT地址 @2: Cmp [eax],ebx 在IAT中找API， Jnz @1 找到后把 call XXXXXX 改为 jmp api地址 Mov ecx, DWORD PTR DS:[54AFE0] ；取调用壳的地址 Mov [ecx],25FF 找到后把 call XXXXXX 改为 jmp api地址 Mov [ecx+2],edx Popad MOV EBX,EDX MOV DWORD PTR DS:[54AFF8],EBX ;保存 API MOV ESP,DWORD PTR DS:[54AFF0] ;取回 ESP POPAD ;?原寄存器 ……….. @1: Add eax,4 Jmp @2 @1:表示add eax,4所在地址行的地址？同样@2是不是也是这个道理 2006-3-28 11:56 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 82 楼对啊 2006-3-28 11:59 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 83 楼果然是补丁问题！！！已经成功取得IAT并修复了壳代码！但在取esi=2时可能程序出现了循环！提示seh太长是否递归！！！！！！！！ 2006-3-28 13:53 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 84 楼最初由 killalarm* 发布* 果然是补丁问题！！！已经成功取得IAT并修复了壳代码！但在取esi=2时可能程序出现了循环！提示seh太长是否递归！！！！！！！！没有必要进行esi=2这步的,如果已用了shoooo的方法. 2006-3-28 13:57 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 85 楼果然按照你的方法我想我已经完成的90%的进度了！为什么要修复跳转表！？跳转表的作用是什么！？ 2006-3-28 14:53 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 86 楼如果你不想修复stolen code,这个就没意意了,可以略去.... 如果只想dumpVM段,好象连syscom的patch也可不用,dump,dump就好了..... 跳转表==jmp 地址,这些地址不是API,不知叫什么好,就乱写了 2006-3-28 15:04 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 87 楼林兄论坛讨论太痛苦，还有很多不明向你讨教！我的qq：20****加我谢谢!msn也可以:kill**@hotmail.com 2006-3-28 15:08 0
Richwong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Richwong 88 楼 xuexi yixia 2006-3-29 10:06 0
netservant 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	netservant 89 楼 "现在找syscom大侠指明的第二个特征码，找到后按syscom大侠那样jmp好了"这句话怎么理解? 是不是SYSCOM大侠文章中提到的"(4) 按 CTRL+B 搜索 89,45,F0,B8,00,07,00,00 修改 00BE7097==>JMP 0054B060"这句,为什么我在这找不到这个特征码呢?请指教! 2006-3-30 22:52 0
情人泪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	情人泪 90 楼 ............... 2006-3-31 03:12 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 91 楼最初由 netservant* 发布* "现在找syscom大侠指明的第二个特征码，找到后按syscom大侠那样jmp好了"这句话怎么理解? 是不是SYSCOM大侠文章中提到的"(4) 按 CTRL+B 搜索 89,45,F0,B8,00,07,00,00 修改 00BE7097==>JMP 0054B060"这句,为什么我在这找不到这个特征码呢?请指教! 在进入OEP的那个retn处寻找看看，如果进入了OEP段，可以ctrl+m 然后搜索！ 2006-3-31 16:17 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 92 楼 ?的不邋,??一下, 2006-4-1 05:28 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 93 楼学习一下~ 感谢分享~ 2006-4-1 07:32 0
netservant 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	netservant 94 楼最初由 killalarm* 发布* 在进入OEP的那个retn处寻找看看，如果进入了OEP段，可以ctrl+m 然后搜索！谢谢，找到了,在retn处按Ctrl+B 找到的 2006-4-1 08:53 0
ziheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ziheng 95 楼我怎么才有一帖呢，老大？ 2006-4-1 15:36 0
ziheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ziheng 96 楼我正在学这种壳谢谢有什么不懂的可以你们不，呵呵 2006-4-1 15:37 0
siegfried 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	siegfried 97 楼正在学习中，多谢楼主． 2006-4-2 14:26 0
rshell 雪币： 250 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	rshell 98 楼学习楼主文章，好好学习技术 2006-4-3 19:47 0
溺水的鱼雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	溺水的鱼 99 楼哎向你学习啦 2006-4-3 20:39 0
IceSword 雪币： 221 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	IceSword 100 楼好久没有来了就先回这个帖子吧 2006-4-3 22:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

林海雪原

发帖

294

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (163) ◀ 1 2 3 4 5 6 7 ▶
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 76 楼 011802F3 55 push ebp 011802F4 EB 02 jmp short 011802F8 011802F6 CD20 1BEA8BEC vxdjump EC8BEA1B 011802FC 6A FF push -1 011802FE 50 push eax 011802FF 66:9C pushfw 01180301 53 push ebx 01180302 81DB E8A90959 sbb ebx, 5909A9E8 01180308 81F3 4060C549 xor ebx, 49C56040 0118030E 8D5C24 1D lea ebx, [esp+1D] 01180312 EB 01 jmp short 01180315 01180314 E8 8D5C2BE3 call E4435FA6 01180319 EB 02 jmp short 0118031D 0118031B CD20 2BDD8D5B vxdjump 5B8DDD2B 01180321 06 push es 01180322 36:EB 01 jmp short 01180326 01180325 9A 68003A4E 008>call far 8F00:4E3A0068 0118032C 035B 66 add ebx, [ebx+66] 0118032F 9D popfd 01180330 E9 6C010000 jmp 011804A1 01180335 68 7C041801 push 118047C 0118033A E8 C1FC0500 call 011E0000 0118033F 56 push esi 01180340 66:9C pushfw 01180342 51 push ecx 01180343 33CD xor ecx, ebp 这个是OEP，也不知道找对了没有。我用OD dump出来时，选择Rebuild import，选项1dump出来是程序错误，选项2/LoadPE完整转存/OD不选择Rebuild import　dump出来都是C000005错误；后面三种用importRec修复后，和第一种报一样错误。目前我还没有研究到VM代码那块，很是郁闷。下面这个是记事本的OEP： 0100739D 6A 70 push 70 0100739F 68 98180001 push 01001898 010073A4 E8 BF010000 call 01007568 010073A9 33DB xor ebx, ebx 010073AB 53 push ebx 010073AC 8B3D CC100001 mov edi, [10010CC] ; kernel32.GetModuleHandleA 010073B2 FFD7 call edi 010073B4 66:8138 4D5A cmp word ptr [eax], 5A4D 010073B9 75 1F jnz short 010073DA 010073BB 8B48 3C mov ecx, [eax+3C] 010073BE 03C8 add ecx, eax 010073C0 8139 50450000 cmp dword ptr [ecx], 4550 010073C6 75 12 jnz short 010073DA 010073C8 0FB741 18 movzx eax, word ptr [ecx+18] 010073CC 3D 0B010000 cmp eax, 10B 010073D1 74 1F je short 010073F2 010073D3 3D 0B020000 cmp eax, 20B 010073D8 74 05 je short 010073DF 010073DA 895D E4 mov [ebp-1C], ebx 010073DD EB 27 jmp short 01007406 010073DF 83B9 84000000 0>cmp dword ptr [ecx+84], 0E 010073E6 ^ 76 F2 jbe short 010073DA 010073E8 33C0 xor eax, eax 010073EA 3999 F8000000 cmp [ecx+F8], ebx 010073F0 EB 0E jmp short 01007400 dump操作和上面的一样，直接dump出来执行是C0000005错误，修复后不能运行，双击后没反应，OD载入修复后的程序，跟了一会儿进一个函数，再F7，进到这儿了： 010070D4 8BFF mov edi, edi ; kernel32.GetModuleHandleA 010070D6 55 db 55 ; CHAR 'U' 010070D7 8B db 8B 010070D8 EC db EC 010070D9 83 db 83 010070DA EC db EC 010070DB 10 db 10 010070DC A1 db A1 010070DD 04960001 dd od_dump_.01009604 010070E1 85 db 85 010070E2 C0 db C0 010070E3 74 db 74 ; CHAR 't' 010070E4 07 db 07 010070E5 3D db 3D ; CHAR '=' 010070E6 40 db 40 ; CHAR '@' 010070E7 BB db BB 010070E8 00 db 00 010070E9 00 db 00 010070EA 75 db 75 ; CHAR 'u' 010070EB 4D db 4D ; CHAR 'M' 010070EC 56 db 56 ; CHAR 'V' 010070ED 8D db 8D 010070EE 45 db 45 ; CHAR 'E' 010070EF F8 db F8 010070F0 50 db 50 ; CHAR 'P' 后面再F8，就报错，代码区白板了。。。 2006-3-28 10:07 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 77 楼 dump它的VM区段没有全! 在OD中调试dump后的文件,看看它要访问哪个段,在在原文件中dump对应段,贴在后面;如果已全部dump了所有VM段,仍有这个错,就看看你的你的虚以地址与原文件一样不. 2006-3-28 10:27 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 78 楼好，谢谢。我再试试。导出VM段这块有没有好的原理性的教程可以推荐一下？ 2006-3-28 10:30 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 79 楼最初由林海雪原* 发布* 关于dump ,z我没有做,走到伪oep之后,所有要访问的段都要吧? 哪一处patch? 就是system的那段patch！ 0054B000--BE 01000000 MOV ESI,1 ;ESI=1取出API,ESI=2重定位API 0054B005--B8 00005C00 MOV EAX,MultiTra.005C0000 ;IAT 檫始位址 0054B00A--A3 F4AF5400 MOV DWORD PTR DS:[54AFF4],EAX 0054B00F--BA 00104000 MOV EDX,MultiTra ;CODE 檫始位址 0054B014--803A E8 CMP BYTE PTR DS:[EDX],0E8 ;是否 CALL ?? 0054B017--75 19 JNZ SHORT MultiTra.0054B032 0054B019--8B5A 01 MOV EBX,DWORD PTR DS:[EDX+1] 0054B01C--03DA ADD EBX,EDX 0054B01E--83C3 05 ADD EBX,5 ;?算正催的 CALL ADDR 0054B021--81FB 0000EA00 CMP EBX,0EA0000 ;是否 ASPR 解瘁位址?? 0054B027--75 2C JNZ SHORT MultiTra.0054B055 0054B029--60 PUSHAD ;保存寄存器 0054B02A--8925 F0AF5400 MOV DWORD PTR DS:[54AFF0],ESP ;保存 ESP 值 0054B030--FFE2 JMP EDX ;咄入ASPR 解瘁 0054B032--66:813A FF25 CMP WORD PTR DS:[EDX],25FF ;是否 JMP [XX]? 0054B037--75 1C JNZ SHORT MultiTra.0054B055 0054B039--8B5A 02 MOV EBX,DWORD PTR DS:[EDX+2] 0054B03C--81FB 08D25400 CMP EBX,MultiTra.0054D208 ;是否在原?IAT位址惯? 0054B042--72 11 JB SHORT MultiTra.0054B055 ;小於 54D208? 0054B044--81FB 08E25400 CMP EBX,MultiTra.0054E208 0054B04A--77 09 JA SHORT MultiTra.0054B055 ;大於 54E208? 0054B04C--8B1B MOV EBX,DWORD PTR DS:[EBX] 0054B04E--83FE 01 CMP ESI,1 ;ESI=1?? 0054B051--74 26 JE SHORT MultiTra.0054B079 0054B053--EB 4B JMP SHORT MultiTra.0054B0A0 0054B055--42 INC EDX ;??器 +1 0054B056--81FA 00505400 CMP EDX,MultiTra.00545000 0054B05C--72 B6 JB SHORT MultiTra.0054B014 ;CODE 段劫束? 0054B05E--EB FE JMP SHORT MultiTra.0054B05E ;Patch 劫束中?? 0054B060--90 NOP ;<=取得 API 返回? 0054B061--8BDA MOV EBX,EDX 0054B063--891D F8AF5400 MOV DWORD PTR DS:[54AFF8],EBX ;保存 API 0054B069--8B25 F0AF5400 MOV ESP,DWORD PTR DS:[54AFF0] ;取回 ESP 0054B06F--61 POPAD ;?原寄存器 0054B070--8B1D F8AF5400 MOV EBX,DWORD PTR DS:[54AFF8] ;取出 API 0054B076--EB D6 JMP SHORT MultiTra.0054B04E 0054B078--90 NOP 0054B079--8B0D F4AF5400 MOV ECX,DWORD PTR DS:[54AFF4] 0054B07F--B8 00005C00 MOV EAX,MultiTra.005C0000 ;IAT 檫始位址 0054B084--3918 CMP DWORD PTR DS:[EAX],EBX 0054B086--74 CD JE SHORT MultiTra.0054B055 ;是否重妖?? 0054B088--05 04000000 ADD EAX,4 0054B08D--3BC1 CMP EAX,ECX 0054B08F--72 F3 JB SHORT MultiTra.0054B084 0054B091--8919 MOV DWORD PTR DS:[ECX],EBX ;保存 API 0054B093--8305 F4AF5400 04ADD DWORD PTR DS:[54AFF4],4 ;指到下? API ADDR 0054B09A--EB B9 JMP SHORT MultiTra.0054B055 0054B09C--90 NOP 0054B09D--90 NOP 0054B09E--90 NOP 0054B09F--90 NOP 0054B0A0--B8 00005C00 MOV EAX,MultiTra.005C0000 ;IAT 檫始位址 0054B0A5--3918 CMP DWORD PTR DS:[EAX],EBX 0054B0A7--74 0E JE SHORT MultiTra.0054B0B7 ;是否找到?? 0054B0A9--05 04000000 ADD EAX,4 0054B0AE--3D 6C085C00 CMP EAX,MultiTra.005C086C ;IAT 劫束位址? 0054B0B3--72 F0 JB SHORT MultiTra.0054B0A5 0054B0B5--EB FE JMP SHORT MultiTra.0054B0B5 0054B0B7--66:C702 FF25 MOV WORD PTR DS:[EDX],25FF ;修正? JMP 0054B0BC--2D 00005C00 SUB EAX,MultiTra.005C0000 0054B0C1--05 00105C00 ADD EAX,5C1000 ;修正 OFFSET 0054B0C6--8942 02 MOV DWORD PTR DS:[EDX+2],EAX ;重定位 ADDR 0054B0C9--EB 8A JMP SHORT MultiTra.0054B055 0054B0CB--90 NOP 0054B0CC--90 NOP 0054B0CD--90 NOP 0054B0CE--90 NOP 0054B0CF--90 NOP ;排序 API 0054B0D0--B9 2C085C00 MOV ECX,MultiTra.005C082C ;IAT 劫束位址 0054B0D5--BE 00005C00 MOV ESI,MultiTra.005C0000 ;IAT 檫始位址 0054B0DA--8BFE MOV EDI,ESI 0054B0DC--8B06 MOV EAX,DWORD PTR DS:[ESI] 0054B0DE--8B1F MOV EBX,DWORD PTR DS:[EDI] 0054B0E0--3BC3 CMP EAX,EBX 0054B0E2--76 05 JBE SHORT MultiTra.0054B0E9 0054B0E4--93 XCHG EAX,EBX ;如果大於?互? 0054B0E5--8906 MOV DWORD PTR DS:[ESI],EAX 0054B0E7--891F MOV DWORD PTR DS:[EDI],EBX 0054B0E9--83C7 04 ADD EDI,4 0054B0EC--3BF9 CMP EDI,ECX 0054B0EE--76 EC JBE SHORT MultiTra.0054B0DC ;LOOP X1 0054B0F0--83C6 04 ADD ESI,4 0054B0F3--3BF1 CMP ESI,ECX 0054B0F5--76 E3 JBE SHORT MultiTra.0054B0DA ;LOOP X2 0054B0F7--EB FE JMP SHORT MultiTra.0054B0F7 ;排序劫束我是按照这个打的patch并没有象你教程中那样改变过！当然里面的地址都替换了！在取esi=1时出现异常，单步跟踪发现是在进入asp解析后出现异常！！！！！不知道何解！jmp处我是选择MOV EAX,700这个地方的！ BTW：期间没有下断点！ 2006-3-28 11:43 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 80 楼 to killalarm : 我破文中的红色patch部份要加上的 2006-3-28 11:48 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 81 楼 MOV DWORD PTR DS:[54AFF0],ESP ;保存 ESP 值 MOV DWORD PTR DS:[54AFE0],EDX ；解码前保存原地址 JMP EDX ;咄入ASPR 解瘁 …………………… NOP ;<=取得 API 返回? pushad Mov eax，IAT地址 @2: Cmp [eax],ebx 在IAT中找API， Jnz @1 找到后把 call XXXXXX 改为 jmp api地址 Mov ecx, DWORD PTR DS:[54AFE0] ；取调用壳的地址 Mov [ecx],25FF 找到后把 call XXXXXX 改为 jmp api地址 Mov [ecx+2],edx Popad MOV EBX,EDX MOV DWORD PTR DS:[54AFF8],EBX ;保存 API MOV ESP,DWORD PTR DS:[54AFF0] ;取回 ESP POPAD ;?原寄存器 ……….. @1: Add eax,4 Jmp @2 @1:表示add eax,4所在地址行的地址？同样@2是不是也是这个道理 2006-3-28 11:56 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 82 楼对啊 2006-3-28 11:59 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 83 楼果然是补丁问题！！！已经成功取得IAT并修复了壳代码！但在取esi=2时可能程序出现了循环！提示seh太长是否递归！！！！！！！！ 2006-3-28 13:53 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 84 楼最初由 killalarm* 发布* 果然是补丁问题！！！已经成功取得IAT并修复了壳代码！但在取esi=2时可能程序出现了循环！提示seh太长是否递归！！！！！！！！没有必要进行esi=2这步的,如果已用了shoooo的方法. 2006-3-28 13:57 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 85 楼果然按照你的方法我想我已经完成的90%的进度了！为什么要修复跳转表！？跳转表的作用是什么！？ 2006-3-28 14:53 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 86 楼如果你不想修复stolen code,这个就没意意了,可以略去.... 如果只想dumpVM段,好象连syscom的patch也可不用,dump,dump就好了..... 跳转表==jmp 地址,这些地址不是API,不知叫什么好,就乱写了 2006-3-28 15:04 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 87 楼林兄论坛讨论太痛苦，还有很多不明向你讨教！我的qq：20****加我谢谢!msn也可以:kill**@hotmail.com 2006-3-28 15:08 0
Richwong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Richwong 88 楼 xuexi yixia 2006-3-29 10:06 0
netservant 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	netservant 89 楼 "现在找syscom大侠指明的第二个特征码，找到后按syscom大侠那样jmp好了"这句话怎么理解? 是不是SYSCOM大侠文章中提到的"(4) 按 CTRL+B 搜索 89,45,F0,B8,00,07,00,00 修改 00BE7097==>JMP 0054B060"这句,为什么我在这找不到这个特征码呢?请指教! 2006-3-30 22:52 0
情人泪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	情人泪 90 楼 ............... 2006-3-31 03:12 0
killalarm 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 142 粉丝 0 关注私信	killalarm 91 楼最初由 netservant* 发布* "现在找syscom大侠指明的第二个特征码，找到后按syscom大侠那样jmp好了"这句话怎么理解? 是不是SYSCOM大侠文章中提到的"(4) 按 CTRL+B 搜索 89,45,F0,B8,00,07,00,00 修改 00BE7097==>JMP 0054B060"这句,为什么我在这找不到这个特征码呢?请指教! 在进入OEP的那个retn处寻找看看，如果进入了OEP段，可以ctrl+m 然后搜索！ 2006-3-31 16:17 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 92 楼 ?的不邋,??一下, 2006-4-1 05:28 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 93 楼学习一下~ 感谢分享~ 2006-4-1 07:32 0
netservant 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	netservant 94 楼最初由 killalarm* 发布* 在进入OEP的那个retn处寻找看看，如果进入了OEP段，可以ctrl+m 然后搜索！谢谢，找到了,在retn处按Ctrl+B 找到的 2006-4-1 08:53 0
ziheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ziheng 95 楼我怎么才有一帖呢，老大？ 2006-4-1 15:36 0
ziheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ziheng 96 楼我正在学这种壳谢谢有什么不懂的可以你们不，呵呵 2006-4-1 15:37 0
siegfried 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	siegfried 97 楼正在学习中，多谢楼主． 2006-4-2 14:26 0
rshell 雪币： 250 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	rshell 98 楼学习楼主文章，好好学习技术 2006-4-3 19:47 0
溺水的鱼雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	溺水的鱼 99 楼哎向你学习啦 2006-4-3 20:39 0
IceSword 雪币： 221 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	IceSword 100 楼好久没有来了就先回这个帖子吧 2006-4-3 22:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复