能力值:
(RANK:350 )
|
-
-
2 楼
文章不错。
建议cyto尽量直接将文本帖到论坛上,优点:
1.可以被搜索到
2.方便整理精华集里(不然我还得重新转换,比较麻烦)
3.附件不可靠,时间长了可能会清掉。
|
能力值:
(RANK:350 )
|
-
-
3 楼
最初由 cyto 发布 顺便问下: Emulate Standard system Functions 指的是什么?
比如这个函数:
7C8114AB kernel32.GetVersion mov eax, fs:[18]
7C8114B1 mov ecx, [eax+30]
7C8114B4 mov eax, [ecx+B0]
7C8114BA movzx edx, word ptr [ecx+AC]
7C8114C1 xor eax, FFFFFFFE
7C8114C4 shl eax, 0E
7C8114C7 or eax, edx
7C8114C9 shl eax, 8
7C8114CC or eax, [ecx+A8]
7C8114D2 shl eax, 8
7C8114D5 or eax, [ecx+A4]
7C8114DB retn Emulate Standard system Functions处理后: 7C8114AB
.
. 中间一段搬到壳里去了,类似高级输入表保护,CALL 0A000000,执行外壳代码后,跳到7C8114C7
.
7C8114C7 or eax, edx
7C8114C9 shl eax, 8
7C8114CC or eax, [ecx+A8]
7C8114D2 shl eax, 8
7C8114D5 or eax, [ecx+A4]
7C8114DB retn
|
能力值:
(RANK:10 )
|
-
-
4 楼
沙发?
如何准确判断那些是需要补的区段?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
太高深了,不懂~!!
|
能力值:
(RANK:10 )
|
-
-
6 楼
快下不到 2.12的了
提供个地址
http://soft.btbbt.com/Softurl.asp?ID=27039
|
能力值:
(RANK:350 )
|
-
-
7 楼
最初由 riym 发布 太高深了,不懂~!!
提醒一次,勿恶意灌水!
你此类几个回帖删除了。
|
能力值:
( LV9,RANK:3410 )
|
-
-
8 楼
cyto 进步很快
恭喜
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
支持,不错。
|
能力值:
( LV9,RANK:1250 )
|
-
-
10 楼
最初由 kanxue 发布 文章不错。 建议cyto尽量直接将文本帖到论坛上,优点: 1.可以被搜索到 2.方便整理精华集里(不然我还得重新转换,比较麻烦) 3.附件不可靠,时间长了可能会清掉。
贴图太多,不过比起stolen code的恢复还是easy了很多,
主要是有些字体搞了些颜色,一个个弄相当于stolen code恢复的工程。
|
能力值:
( LV9,RANK:1250 )
|
-
-
11 楼
最初由 fly 发布 cyto 进步很快 恭喜 进步归功于看雪论坛及一蓑烟雨各位前辈的文章,受益匪浅啊。
再次谢谢各位前辈指点。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
LordPE选择进程dump,ImportREC选择进程,填入OEP,自动获取,最后一个Thunk明显不是函数,删除,Level1+Asprotect插件,还有7个无效。先修复dump,存为dumped_.exe。
最后一个Thunk明显不是函数,怎样判断不是函数?
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
有错误的FThunk,为什么FThunk: 00197A78是无效的?
FThunk: 00197070 NbFunc: 00000007
0 00197070 ? 0000 04075EF0
1 00197074 kernel32.dll 014C GetDriveTypeA
1 00197078 shell32.dll 018B StrStrW
0 0019707C ? 0000 04076208
0 00197080 ? 0000 04076268
0 00197084 ? 0000 040762BC
0 00197088 ? 0000 04076370
FThunk: 00197A78 NbFunc: 00000005
0 00197A78 ? 0000 00547C1D
1 00197A7C kernel32.dll 0216 InitializeCriticalSection
0 00197A80 ? 0000 0042BC40
0 00197A84 ? 0000 00547C1D
1 00197A88 kernel32.dll 0216 InitializeCriticalSection
|
能力值:
( LV9,RANK:1250 )
|
-
-
15 楼
最初由 zjjxup 发布 有错误的FThunk,为什么FThunk: 00197A78是无效的?
FThunk: 00197070 NbFunc: 00000007 0 00197070 ? 0000 04075EF0 1 00197074 kernel32.dll 014C GetDriveTypeA ........
这个对我来说没什么技巧,只是累积的经验多了而已。
碰到n次SDK函数(学习Asprotect已经n久了),因此形成惯性,而且函数无效的话还可以手工修复,如果认错了函数,那么死的时候就比较麻烦。
至于最后一个Thunk明显不是函数,这个也是经验的,看一下数据窗口的值就可以判断了。
|
能力值:
( LV9,RANK:650 )
|
-
-
16 楼
暗桩-CRC验证?:
载入dumped_1.exe,F9就退出,载入原程序,修复IAT脚本运行后F9也一样退出,但是寻找OEP的脚本不会退出。
好,2个脚本比较跟踪:
Aspr2.XX_IATfixer_v1.02.osc
Asprotect 2.xx SKE OEP finder.txt
层层进入:
004A0BEE E8 F4210A00 call FlexHEX.00542DE7
00542DF7 E8 2ECD0000 call FlexHEX.0054FB2A
0054FB6E FF50 50 call dword ptr ds:[eax+50] ; FlexHEX.00408D80
再进入后发现在下面的call后跳转不一样:
00408DA9 8BF1 mov esi,ecx
00408DAB E8 10C80400 call dumped_1.004555C0
00408DB0 85C0 test eax,eax
00408DB2 0F84 BA0C0000 je dumped_1.00409A72 ; 这里不一样的跳转
呵呵,这里很熟,CRC验证,参考:Web Log Explorer 3.1 Standard Edition
进入00408DAB的call来到不同的地方:
0045562A /0F85 2B000000 jnz FlexHEX.0045565B ; nop
nop掉就ok了,其实就是得到eax的值=1。
2个脚本比较跟踪,这里不知怎么比较跟踪,能不能教一下方法?
我下载了研究,怎么也找不到CRC校验,这个过程可不可以讲讲?
|
能力值:
( LV9,RANK:1250 )
|
-
-
17 楼
最初由 hbqjxhw 发布 暗桩-CRC验证?: 载入dumped_1.exe,F9就退出,载入原程序,修复IAT脚本运行后F9也一样退出,但是寻找OEP的脚本不会退出。 好,2个脚本比较跟踪: Aspr2.XX_IATfixer_v1.02.osc Asprotect 2.xx SKE OEP finder.txt ........
开2个OD,分别脚本运行到OEP,然后step by step。
如果有过经验的话就直接搜索特征码。
|
能力值:
(RANK:1130 )
|
-
-
18 楼
最初由 cyto 发布 开2个OD,分别脚本运行到OEP,然后step by step。 如果有过经验的话就直接搜索特征码。
能说说这个例子怎么搜索特征码嘛?
|
能力值:
( LV9,RANK:1250 )
|
-
-
19 楼
最初由 海风月影 发布 能说说这个例子怎么搜索特征码嘛?
都是:
call xxxxx
test eax,eax
je xxx
进入call xxxx可以看到这样的代码:
...
test ecx,ecx
jnz xx
最笨的方法就是step by step,然后看到上面类似的特征码就基本可以确定。
我是根据多个软件跟踪的结果总结的,也可能不对,不过用这个方法搞定了几个。
|
能力值:
( LV12,RANK:470 )
|
-
-
20 楼
支持,不错。
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
下载来研究研究
|
能力值:
( LV9,RANK:290 )
|
-
-
22 楼
先下载收藏,有空学习
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
最初由 kanxue 发布 比如这个函数:
7C8114AB kernel32.GetVersion mov eax, fs:[18] 7C8114B1 mov ecx, [eax+30] 7C8114B4 mov eax, [ecx+B0] ........
这个学习下
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
从这个帖子中学到不少东东
建议看雪在做精华时专门出一个版块,把这些精彩的一问一答收录下来,对我等菜菜太有用了
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
请问脚本Asprotect 2.xx SKE OEP finder.txt到哪找啊?
我找了老半天也没找到,论坛里好象只有
ASProtect OEP Finder (all versions).txt
ASProtect OEP Finder.txt
这两个
|
|
|