能力值:
(RANK:350 )
|
-
-
2 楼
你单步跟踪一下,看是不是code splicing保护。如确定是用ArmInline工具修复一下。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
这是检查出来的加密方式“CopyMem-II+Debug-Blocker”
!- Protected Armadillo
<Protection Options>
Debug-Blocker
CopyMem-II
<Backup Key Options>
No Registry Keys at All
<Compression Options>
Best/Slowest Compression
od调试:
00448D5A > 55 PUSH EBP
00448D5B 8BEC MOV EBP, ESP
00448D5D 6A FF PUSH -1
00448D5F 68 40794500 PUSH d1_.00457940
00448D64 68 889B4400 PUSH d1_.00449B88
00448D69 64:A1 00000000 MOV EAX, DWORD PTR FS:[0]
00448D6F 50 PUSH EAX
00448D70 64:8925 0000000>MOV DWORD PTR FS:[0], ESP
00448D77 83EC 10 SUB ESP, 10
00448D7A 53 PUSH EBX
00448D7B 56 PUSH ESI
00448D7C 57 PUSH EDI
00448D7D 8965 E8 MOV DWORD PTR SS:[EBP-18], ESP
00448D80 FF15 3C304500 CALL DWORD PTR DS:[45303C] => 0045303C 57 9F AC 00 (就是这里出错,它指向的AC9F57不存在)
00448D86 33D2 XOR EDX, EDX
00448D88 8AD4 MOV DL, AH
00448D8A 8915 A4524900 MOV DWORD PTR DS:[4952A4], EDX
00448D90 8BC8 MOV ECX, EAX
00448D92 81E1 FF000000 AND ECX, 0FF
00448D98 890D A0524900 MOV DWORD PTR DS:[4952A0], ECX
00448D9E C1E1 08 SHL ECX, 8
00448DA1 03CA ADD ECX, EDX
00448DA3 890D 9C524900 MOV DWORD PTR DS:[49529C], ECX
00448DA9 C1E8 10 SHR EAX, 10
00448DAC A3 98524900 MOV DWORD PTR DS:[495298], EAX
00448DB1 6A 00 PUSH 0
00448DB3 E8 E9480000 CALL d1_.0044D6A1
00448DB8 59 POP ECX
00448DB9 85C0 TEST EAX, EAX
00448DBB 75 08 JNZ SHORT d1_.00448DC5
00448DBD 6A 1C PUSH 1C
00448DBF E8 9A000000 CALL d1_.00448E5E
00448DC4 59 POP ECX
00448DC5 8365 FC 00 AND DWORD PTR SS:[EBP-4], 0
00448DC9 E8 AF1A0000 CALL d1_.0044A87D
00448DCE FF15 B4314500 CALL DWORD PTR DS:[4531B4]
00448DD4 A3 A4A34900 MOV DWORD PTR DS:[49A3A4], EAX
|
能力值:
( LV9,RANK:330 )
|
-
-
4 楼
输入表没有完全修复
|
能力值:
(RANK:1060 )
|
-
-
5 楼
最初由 wangshq397 发布 输入表没有完全修复
大概是输入表完全没有修复
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
ArmInline处理后还是不行
看IAT表
0045302C 796E17BB advapi32.ControlService
00453030 796E799C advapi32.QueryServiceStatus
00453034 796E768A advapi32.OpenSCManagerA
00453038 00B1631F * =〉象这样的内存地址应该怎样处理??
0045303C 00B19F57 *
00453040 77E9DF91 KERNEL32.ClearCommError
00453044 77E9E5E9 KERNEL32.GetCommState
00453048 77E7449E KERNEL32.GetOverlappedResult
0045304C 77E71562 KERNEL32.GetOEMCP
00453050 00B19F69 *
00453054 77FCB906 ntdll.RtlSizeHeap
00453058 00B17184 *
0045305C 00B16FA1 *
00453060 77E6A8A4 KERNEL32.FreeEnvironmentStringsW
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
谢谢以上各位大虾,
首先是IAT没有修复,magic jmp搞错了
但直接用imprec还是会出错的,后来用machenglin的方法用ArmInline修复在dump一次就好了。
这个东西搞了我一个星期了,想不到在这里一天就搞定了,再次感谢各位的热心帮助。
|
|
|