[讨论]在脱Asprotect 1.2x-1.3x时遇到的一个现象-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]在脱Asprotect 1.2x-1.3x时遇到的一个现象

发表于: 2006-11-3 16:50 3540

[讨论]在脱Asprotect 1.2x-1.3x时遇到的一个现象

SigCell

2006-11-3 16:50

3540

虽然脱壳成功了，但有一点在原理上还不是很清楚

现象是这样的：
（1）运行脱壳+IAT修复后的文件，贪出一个错误框,提出读0X010BB784地址时访问非法
（2）定位到错误语句
0065DC8E： call [667C24] ==> ( ds:[667c24] = 010BC784 )
而010BC784地址在脱壳后的文件中是不存在的

经过对原软件的分析，发现先CALL 到壳地址空间了，因为调试原软件发现在010BC784地方实际上CALL 到了当前的地址空间。

我就估计着，大概是与壳交互一下，验证下壳是否还存在。

所以修改一下CALL 的地址就解决问题了。

但我不明白的是，用LordPE DUMP 整个进程的时候，为什么会出现这种情况？
明明在原来的程序中010BC784这个地址是有内容的，而DUMP下来就没有了。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (3)
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 loadpe默认是不会dump壳动态申请的内存空间 2006-11-3 16:54 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 3 楼 LordPE根据PE头来确定dump哪些节。 2006-11-3 17:06 0
SigCell 雪币： 214 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	SigCell 2 4 楼多谢楼上的两位如果在设计软件的时候，对每个函数调用前先开辟的空间存函数地址，这样的话脱了壳之后也只能手工修复，函数一多烦都能烦死人的 2006-11-3 17:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

SigCell

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 loadpe默认是不会dump壳动态申请的内存空间 2006-11-3 16:54 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 3 楼 LordPE根据PE头来确定dump哪些节。 2006-11-3 17:06 0
SigCell 雪币： 214 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	SigCell 2 4 楼多谢楼上的两位如果在设计软件的时候，对每个函数调用前先开辟的空间存函数地址，这样的话脱了壳之后也只能手工修复，函数一多烦都能烦死人的 2006-11-3 17:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复