-
-
[求助]请教如何避开SLVc0deProtector的IAT加密?
-
发表于: 2007-1-30 21:13
-
本来发了帖在这里http://bbs.pediy.com/showthread.php?s=&threadid=38838,可是点过去里头空空无也!
只好再重发一帖,请管理员帮忙删除重复的主题,可能是我操作错误,在此致歉。
PEiD查壳:SLVc0deProtector 1.1 -> SLV
搜索论坛没找到相关教程,只在这里http://bbs.pediy.com/showthread.php?s=&threadid=14528寻得fly斑竹留下的蛛丝马迹:
fly斑竹指的“输入表直接拿过来用就行了”这里我并不明白,而且版本不同,只好作罢,改用“SLVc0deProtector v1.1 Killer”脱壳,加载程序后不久,程序启动没动静,只好上来坛子向诸位大侠求助,先谢谢指导。
我是这么来脱他的,OD除了忽略在KERNEL32中的内存访问异常外,全不勾选,加载程序后:
00401000 > E8 00000000 CALL Advanced.00401005 // 停在这里
00401005 58 POP EAX
00401006 C600 EB MOV BYTE PTR DS:[EAX],0EB
00401009 C640 01 08 MOV BYTE PTR DS:[EAX+1],8
0040100D FFE0 JMP EAX
0040100F - E9 4CF00800 JMP Advanced.00490060
Shift+F9经过N次异常后:
0049146E FA CLI // 停在这里
0049146F FE ???
00491470 FB STI
00491471 FFFF ???
00491473 04 24 ADD AL,24
00491475 60 PUSHAD
Alt+M在0041000这条F2设断,Shift+F9断在OEP:
0045E3C5 55 PUSH EBP // OEP
0045E3C6 8BEC MOV EBP,ESP
0045E3C8 6A FF PUSH -1
0045E3CA 68 A8A44600 PUSH Advanced.0046A4A8
在OEP处dump下来,打开ImportREC要修复输入表时,显示函数全部无效,用自动追踪1修复,可修复大多函数,但是仍有部分函数显示无效,请问各位大侠接着我应该怎么做?
软件是一个用来监视网络使用状况的小工具,已上载到临时空间,另外有个小困惑,就是我用坛子里的OllyICE加载程序会提示“格式错误或格式未知”,然后停在系统领空:
7C921231 C3 RETN // 停在这里,ntdll模块
7C921232 8BFF MOV EDI,EDI
7C921234 90 NOP
7C921235 90 NOP
7C921236 90 NOP
改用原版加载后就正常的停在00401000这条地址上,这是什么缘故?
在这里http://bbs.pediy.com/showthread.php?s=&threadid=16015有看到clide2000大侠和q3 watcher大侠的解说,不明白的是“把入口改一下就行了”这里要改哪里呢?菜鸟问题多,很多地方不懂,请大侠们多多指导,感激不尽,谢谢。
文件下载地址:http://www.live-share.com/files/147808/Advanced_IP_Scanner.rar.html
只好再重发一帖,请管理员帮忙删除重复的主题,可能是我操作错误,在此致歉。
PEiD查壳:SLVc0deProtector 1.1 -> SLV
搜索论坛没找到相关教程,只在这里http://bbs.pediy.com/showthread.php?s=&threadid=14528寻得fly斑竹留下的蛛丝马迹:
感觉这个东东除了anti之外就一无是处了,输入表直接拿过来用就行了
脱壳教程估计难有时间整理了
fly斑竹指的“输入表直接拿过来用就行了”这里我并不明白,而且版本不同,只好作罢,改用“SLVc0deProtector v1.1 Killer”脱壳,加载程序后不久,程序启动没动静,只好上来坛子向诸位大侠求助,先谢谢指导。
我是这么来脱他的,OD除了忽略在KERNEL32中的内存访问异常外,全不勾选,加载程序后:
00401000 > E8 00000000 CALL Advanced.00401005 // 停在这里
00401005 58 POP EAX
00401006 C600 EB MOV BYTE PTR DS:[EAX],0EB
00401009 C640 01 08 MOV BYTE PTR DS:[EAX+1],8
0040100D FFE0 JMP EAX
0040100F - E9 4CF00800 JMP Advanced.00490060
Shift+F9经过N次异常后:
0049146E FA CLI // 停在这里
0049146F FE ???
00491470 FB STI
00491471 FFFF ???
00491473 04 24 ADD AL,24
00491475 60 PUSHAD
Alt+M在0041000这条F2设断,Shift+F9断在OEP:
0045E3C5 55 PUSH EBP // OEP
0045E3C6 8BEC MOV EBP,ESP
0045E3C8 6A FF PUSH -1
0045E3CA 68 A8A44600 PUSH Advanced.0046A4A8
在OEP处dump下来,打开ImportREC要修复输入表时,显示函数全部无效,用自动追踪1修复,可修复大多函数,但是仍有部分函数显示无效,请问各位大侠接着我应该怎么做?
软件是一个用来监视网络使用状况的小工具,已上载到临时空间,另外有个小困惑,就是我用坛子里的OllyICE加载程序会提示“格式错误或格式未知”,然后停在系统领空:
7C921231 C3 RETN // 停在这里,ntdll模块
7C921232 8BFF MOV EDI,EDI
7C921234 90 NOP
7C921235 90 NOP
7C921236 90 NOP
改用原版加载后就正常的停在00401000这条地址上,这是什么缘故?
在这里http://bbs.pediy.com/showthread.php?s=&threadid=16015有看到clide2000大侠和q3 watcher大侠的解说,不明白的是“把入口改一下就行了”这里要改哪里呢?菜鸟问题多,很多地方不懂,请大侠们多多指导,感激不尽,谢谢。
文件下载地址:http://www.live-share.com/files/147808/Advanced_IP_Scanner.rar.html
