[原创]菜鸟啄硬壳―我的脱壳手记-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]菜鸟啄硬壳―我的脱壳手记

发表于: 2007-1-17 01:26 19876

[原创]菜鸟啄硬壳―我的脱壳手记

wulje

2007-1-17 01:26

19876

查看主题内容

收藏・16

免费・7

支持

最新回复 (47) ◀ 1 2
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 26 楼不错的说,很适合我们这些初学者,收藏了,谢谢LZ 2007-1-23 16:34 0
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 27 楼谢谢,收藏了 2007-1-23 16:35 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 28 楼软壳。有收获 2007-1-23 18:34 0
宽容雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	宽容 29 楼最初由 haishi* 发布* 需要慢慢体会。和你一样，慢慢看 2007-1-24 07:49 0
assistx 雪币： 400 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	assistx 30 楼牛啊，学习有些地方不太懂啊 2007-2-9 22:34 0
yuqich 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	yuqich 31 楼写得很详细，谢谢楼主了 2007-2-9 23:28 0
cys 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	cys 32 楼认真学习中，谢楼主 2007-2-12 11:00 0
gjpx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	gjpx 33 楼需要慢慢体会 2007-3-2 22:33 0
nishiz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	nishiz 34 楼有收获....谢谢,收藏了 2007-4-1 18:31 0
回头太难雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	回头太难 35 楼谢谢,学习了 2007-4-1 21:47 0
srcgene 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	srcgene 36 楼按照楼主的办法好象还是运行不起来，未找到↑．dll 2007-4-6 14:12 0
crazywkr 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 1 关注私信	crazywkr 37 楼哈哈，有点意思 2007-4-6 15:20 0
电脑狂摩雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	电脑狂摩 38 楼要好好学一下哟 2007-4-7 15:11 0
潜水的鱼雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	潜水的鱼 39 楼看了，有点一知半解 2007-4-10 01:43 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 40 楼 dddddddddddddd 2007-4-11 16:17 0
kcsboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kcsboy 41 楼我看了你的过程,很好! 很希望你们能在以后的日子里多为我们这些初学者留更多的学习资料!!! 2007-4-11 17:19 0
andy00 雪币： 260 活跃值： (274) 能力值： ( LV9，RANK：170 ) 在线值：发帖 21 回帖 141 粉丝 0 关注私信	andy00 4 42 楼不错,这才是精华啊,让人知其然并且知其所以然,看了可以学到很多东西.很多大侠的文章,从一开始就按钮快捷键按几下文章就结束了 2007-4-19 11:02 0
hermit 雪币： 10 活跃值： (130) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 214 粉丝 1 关注私信	hermit 1 43 楼仔细看完并手动试验了一下，收获颇丰。不过也发现了原文的几处笔误（也可能是我的误解，还请指正），让我迷惑了好一阵子。希望作者能修改一下以方便后来人： 1、第四部分《抓取内存影像，修改IAT表》第 1 小节“轻松解决IAT表中地址转换的RVA问题”的段尾： …… 现在却可以轻松解决了，奥妙在那里？往下看：把前面提到的内存中404000~4040AF的那段数据拷贝如下：这里的 404000~4040AF 似乎应该为 404000~40409F。因为后面的 4040A0 是后来 IID 表所处的位置。更为重要的是 40409C 是 IAT 表第一个 NULL 值（0x00000000）出现的地方，因此选 40409F 作为 IAT 表的结尾是合理的。若是选 4040AF 则显得没有什么道理。 2、也是在该小节：现在根本就完全舍去了RVA这个概念。你只须要把前表中的每个值(记住低位减1)，去掉那个40，照原样填写在下表相应的位置中，并把7FFFFFFF和FFFFFFFF改为全0，IAT表就改选完成了。即： 00004000 48 41 00 00 58 51 00 00 B6 42 00 00 CA 42 00 00 00004010 00 00 00 00 34 42 00 00 A8 42 00 00 D6 41 00 00 00004020 DE 41 00 00 E6 41 00 00 FC 41 00 00 04 42 00 00 这个地方似乎应该是 00004000 48 41 00 00 58 41 00 00 B6 42 00 00 CA 42 00 00。原因嘛，绝对的笔误。 3、应该还有一小处，很小的一处。不过没留意，发帖的时候找不到了～希望以后的同学多多留意。 btw：楼主用的是什么操作系统？怎么 GetProcAddress 的地址 4223F4 会这么低？ 2007-4-21 01:38 0
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 2 关注私信	wulje 14 44 楼您好,你看得很细致，我的文章中的确经常有笔识，主要是不够细心。有些地方可能表达也不够准确，使理解上出现偏差。不过，我写出的东西都是经过“实际验证”后总结的，实验前后可能有好几次“记录”。个别地方可能把前后的数据搞混乱了，给你们造成了不必要的麻烦，表示欠意。我的文章，表达了我的“思想”：这就是“重原理”，“重思路”。可能一些细致的工作我并不特别强调，这留给读者一些思考和变通的余地。你提到的“这里的 404000~4040AF 似乎应该为 404000~40409F”，你是对的。回忆起来，当时我可能也没有完全弄清从0040409F以后的“那两行”，即到00404AF止是不是垃圾代码。所以为了保险把它也拷贝下来了。（忽略了初学者对细节的“追究”）后来有个网友来信也指出了同样的问题。我再次看了以后，肯定它是“垃圾”。其实那部分代码是没有动它的。（事实上，一些软件几经修改后，往往会留下一些垃圾，作者也没有必要去清除它们）。至于GetProcAddress的地址，回忆起来应该是：004223F4是GetProcAddress的调用地址，也就是说：在[004223F4]中装入的才是GetProcAddress的实际地址。装载前，[004223F4]内存中的值是：0040408B（随便举例），而0040408B正是IAT表中指向GetProcAddress字串的地址。windows装载后，[004223F4]内存中的值变了，比如变成 7C803AF4（随便举例），7C803AF4才是GetProcAddress的调用地址。而程序在调用GetProcAddress 时，始终是指向[004223F4]的。这就是我们修复IAT表的最根本的依据。即把装载后的7C803AF4 或加密后的值，还原成0040408B，让它指向GetProcAddress字串。 2007-4-21 22:22 0
asiaflyhaw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	asiaflyhaw 45 楼我这里觉得ESP起码还是高效的,HW 13FFC0发现居然使用了LoadLibrary,在下面找OEP看见一个jmp 直接断点那里,按F9发现还要执行硬件断点,删掉硬件断点,一般13FFC0喜欢在到OEP之前乱跳,我习惯了.哈哈,F9到.进看见没有代码的地方.这个地方应该就是,(以前碰到一个发现看见这个地方一般是OEP)哈哈 2007-4-22 00:10 0
kangchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	kangchen 46 楼我会用心记住的 2007-4-22 15:04 0
boboc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	boboc 47 楼 thank you!! 2007-4-22 15:20 0
wamcncn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 52 粉丝 0 关注私信	wamcncn 48 楼附件下载解压错误 2007-6-12 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wulje

发帖

回帖

570

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) ◀ 1 2
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 26 楼不错的说,很适合我们这些初学者,收藏了,谢谢LZ 2007-1-23 16:34 0
morose 雪币： 233 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	morose 27 楼谢谢,收藏了 2007-1-23 16:35 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 28 楼软壳。有收获 2007-1-23 18:34 0
宽容雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	宽容 29 楼最初由 haishi* 发布* 需要慢慢体会。和你一样，慢慢看 2007-1-24 07:49 0
assistx 雪币： 400 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	assistx 30 楼牛啊，学习有些地方不太懂啊 2007-2-9 22:34 0
yuqich 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	yuqich 31 楼写得很详细，谢谢楼主了 2007-2-9 23:28 0
cys 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	cys 32 楼认真学习中，谢楼主 2007-2-12 11:00 0
gjpx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	gjpx 33 楼需要慢慢体会 2007-3-2 22:33 0
nishiz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	nishiz 34 楼有收获....谢谢,收藏了 2007-4-1 18:31 0
回头太难雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	回头太难 35 楼谢谢,学习了 2007-4-1 21:47 0
srcgene 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	srcgene 36 楼按照楼主的办法好象还是运行不起来，未找到↑．dll 2007-4-6 14:12 0
crazywkr 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 1 关注私信	crazywkr 37 楼哈哈，有点意思 2007-4-6 15:20 0
电脑狂摩雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	电脑狂摩 38 楼要好好学一下哟 2007-4-7 15:11 0
潜水的鱼雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	潜水的鱼 39 楼看了，有点一知半解 2007-4-10 01:43 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 40 楼 dddddddddddddd 2007-4-11 16:17 0
kcsboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kcsboy 41 楼我看了你的过程,很好! 很希望你们能在以后的日子里多为我们这些初学者留更多的学习资料!!! 2007-4-11 17:19 0
andy00 雪币： 260 活跃值： (274) 能力值： ( LV9，RANK：170 ) 在线值：发帖 21 回帖 141 粉丝 0 关注私信	andy00 4 42 楼不错,这才是精华啊,让人知其然并且知其所以然,看了可以学到很多东西.很多大侠的文章,从一开始就按钮快捷键按几下文章就结束了 2007-4-19 11:02 0
hermit 雪币： 10 活跃值： (130) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 214 粉丝 1 关注私信	hermit 1 43 楼仔细看完并手动试验了一下，收获颇丰。不过也发现了原文的几处笔误（也可能是我的误解，还请指正），让我迷惑了好一阵子。希望作者能修改一下以方便后来人： 1、第四部分《抓取内存影像，修改IAT表》第 1 小节“轻松解决IAT表中地址转换的RVA问题”的段尾： …… 现在却可以轻松解决了，奥妙在那里？往下看：把前面提到的内存中404000~4040AF的那段数据拷贝如下：这里的 404000~4040AF 似乎应该为 404000~40409F。因为后面的 4040A0 是后来 IID 表所处的位置。更为重要的是 40409C 是 IAT 表第一个 NULL 值（0x00000000）出现的地方，因此选 40409F 作为 IAT 表的结尾是合理的。若是选 4040AF 则显得没有什么道理。 2、也是在该小节：现在根本就完全舍去了RVA这个概念。你只须要把前表中的每个值(记住低位减1)，去掉那个40，照原样填写在下表相应的位置中，并把7FFFFFFF和FFFFFFFF改为全0，IAT表就改选完成了。即： 00004000 48 41 00 00 58 51 00 00 B6 42 00 00 CA 42 00 00 00004010 00 00 00 00 34 42 00 00 A8 42 00 00 D6 41 00 00 00004020 DE 41 00 00 E6 41 00 00 FC 41 00 00 04 42 00 00 这个地方似乎应该是 00004000 48 41 00 00 58 41 00 00 B6 42 00 00 CA 42 00 00。原因嘛，绝对的笔误。 3、应该还有一小处，很小的一处。不过没留意，发帖的时候找不到了～希望以后的同学多多留意。 btw：楼主用的是什么操作系统？怎么 GetProcAddress 的地址 4223F4 会这么低？ 2007-4-21 01:38 0
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 2 关注私信	wulje 14 44 楼您好,你看得很细致，我的文章中的确经常有笔识，主要是不够细心。有些地方可能表达也不够准确，使理解上出现偏差。不过，我写出的东西都是经过“实际验证”后总结的，实验前后可能有好几次“记录”。个别地方可能把前后的数据搞混乱了，给你们造成了不必要的麻烦，表示欠意。我的文章，表达了我的“思想”：这就是“重原理”，“重思路”。可能一些细致的工作我并不特别强调，这留给读者一些思考和变通的余地。你提到的“这里的 404000~4040AF 似乎应该为 404000~40409F”，你是对的。回忆起来，当时我可能也没有完全弄清从0040409F以后的“那两行”，即到00404AF止是不是垃圾代码。所以为了保险把它也拷贝下来了。（忽略了初学者对细节的“追究”）后来有个网友来信也指出了同样的问题。我再次看了以后，肯定它是“垃圾”。其实那部分代码是没有动它的。（事实上，一些软件几经修改后，往往会留下一些垃圾，作者也没有必要去清除它们）。至于GetProcAddress的地址，回忆起来应该是：004223F4是GetProcAddress的调用地址，也就是说：在[004223F4]中装入的才是GetProcAddress的实际地址。装载前，[004223F4]内存中的值是：0040408B（随便举例），而0040408B正是IAT表中指向GetProcAddress字串的地址。windows装载后，[004223F4]内存中的值变了，比如变成 7C803AF4（随便举例），7C803AF4才是GetProcAddress的调用地址。而程序在调用GetProcAddress 时，始终是指向[004223F4]的。这就是我们修复IAT表的最根本的依据。即把装载后的7C803AF4 或加密后的值，还原成0040408B，让它指向GetProcAddress字串。 2007-4-21 22:22 0
asiaflyhaw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	asiaflyhaw 45 楼我这里觉得ESP起码还是高效的,HW 13FFC0发现居然使用了LoadLibrary,在下面找OEP看见一个jmp 直接断点那里,按F9发现还要执行硬件断点,删掉硬件断点,一般13FFC0喜欢在到OEP之前乱跳,我习惯了.哈哈,F9到.进看见没有代码的地方.这个地方应该就是,(以前碰到一个发现看见这个地方一般是OEP)哈哈 2007-4-22 00:10 0
kangchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	kangchen 46 楼我会用心记住的 2007-4-22 15:04 0
boboc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	boboc 47 楼 thank you!! 2007-4-22 15:20 0
wamcncn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 52 粉丝 0 关注私信	wamcncn 48 楼附件下载解压错误 2007-6-12 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复