首页
社区
课程
招聘
让侦测工具把壳识别为VC++
发表于: 2004-8-24 01:23 4895

让侦测工具把壳识别为VC++

2004-8-24 01:23
4895
作者:linson 标题:让侦测工具把壳识别为VC++  

Written By LiNSoN

    一时找不到好的例子程序,向朋友要了一个易语言编译的窗口空程序演示一下-_-!
    目标文件:Target.exe
    加个壳:SVKP 1.3x -> Pavol Cerven[注:Cracked],PEiD正确识别出来了.记下入口点:5000
    用ToPo增加大约128字节的空间[注:个人爱好而定],进入LordPE的PE Editor,打开Target.exe,
把.topo0段名改为.text,装的更像一点[注:也可以个性一点改成自己的大名,不影响结果]
    记下VOffset:13000,把入口点改为这个值.OllyDbg载入Target.exe,轰~我们来到了一个异常,
向上拉动滚动条,来到413000处改写代码:
;----------------------------------------------------------------
;伪造VC++入口代码特征
;assume  fs:nothing
push ebp
mov ebp,esp
push -1
push 666666
push 888888
mov eax,fs:[0]
push eax
mov fs:[0],esp
;下边再恢复
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
;----------------------------------------------------------------
    别忘了jmp 405000,也就是壳的入口点.选中修改过的代码按右键,把它保存为newTarget.exe.
PEiD侦测一下:Microsoft Visual C++,并且运行正常,任务完成.
    感谢您耐心阅读到这里  

我写了个工具

附件:weizhuang.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (4)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
请教如何脱?谢谢先!
2004-9-1 09:22
0
雪    币: 212
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
高人说jmp eax->dump,再正常脱
不过我不懂
2004-9-1 12:03
0
雪    币: 221
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
好!
2004-9-1 12:19
0
雪    币: 209
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
要知道加没有加壳,用ollydbg载入一次就知道了,加了壳的,ollydbg会提示。:)
2004-9-1 15:14
0
游客
登录 | 注册 方可回帖
返回
//