-
-
脱了一个加密狗壳ET199
-
发表于: 2020-9-8 12:36
-
朋友给我丢了一个程序,点开运行提示要插入锁
看了一下节表
.ftsafe,
插上狗,直接开撸
内存大法直接定位到OEP
分析了一下输入表发现加密了,然后重新分析他输入表解密的地方
他的输入表处理有很多方法,我是修改了一条指令
eax是加密好的数据,ecx是原始api地址
本来是mov dword ptr [edi],eax
我修改为mov dword ptr [edi],ecx
让他跑完后来到OEP,dump,之前输入表修复好了,所以可以直接修复输入表,删除.ftsafe节,优化一下PE,
减肥后,再把ET199的SDK补上,狗壳完美脱成功了。
发给朋友,完美运行。
感觉ET199的狗壳不强,基本上没难度,本文没什么技术含量,摆弄一下三脚猫功夫供大家娱乐一下。
因为那个加密狗被朋友拿回去了,当时没记录,现在没办法写的再详细了,只能按照回忆拼凑一下,大家凑合着看看吧,哈哈哈。
有机会再碰到这个狗,就再发一篇讲讲他的call修复和SDK修复
[培训]《冰与火的战歌:Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。
最后于 2020-9-8 13:05
被少妇之友编辑
,原因:
|
|
|---|---|
|
|
 想学习 API 加密地址查找方法 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
