-
-
[原创]NtkrnlProtector简明脱壳笔记
-
发表于:
2007-5-12 00:43
8413
-
[原创]NtkrnlProtector简明脱壳笔记
【脱壳对象】: NtkrnlProtector v0.1加壳的NotePad from q3 watcher
【脱文作者】: cyclotron
【附属声明】: 太久没有脱壳了,有点手生,所以趁着周末闲暇捏个软柿子。只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教。
【脱壳笔记】:
首先载入NotePad.exe至LordPE,修改NumOfRVAandSizes为10,以便OllyDbg正常加载。
忽略所有异常,OllyDbg载入文件,F9运行,来到这里:
004D0000 C3 RETN
004D0001 0000 ADD BYTE PTR DS:[EAX],AL
004D0003 0000 ADD BYTE PTR DS:[EAX],AL
004D0005 0000 ADD BYTE PTR DS:[EAX],AL
004D0007 0000 ADD BYTE PTR DS:[EAX],AL
004D0009 0000 ADD BYTE PTR DS:[EAX],AL
004D000B 0000 ADD BYTE PTR DS:[EAX],AL
004D000D 0000 ADD BYTE PTR DS:[EAX],AL
01021445 52 PUSH EDX
01021446 57 PUSH EDI
01021447 E8 E4000000 CALL 01021530 ; JMP to kernel32.GetProcAddress
0102144C 60 PUSHAD ; 返回到这里
0102144D 8BF8 MOV EDI,EAX
0102144F B9 04000000 MOV ECX,4
01021454 B8 60060000 MOV EAX,660
01021459 C1E8 03 SHR EAX,3
0102145C F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0102145E 85C9 TEST ECX,ECX
01021460 74 04 JE SHORT 01021466
01021462 834D EC 01 OR DWORD PTR SS:[EBP-14],1
01021466 61 POPAD
01021467 FF75 F4 PUSH DWORD PTR SS:[EBP-C]
0102146A 837D F0 01 CMP DWORD PTR SS:[EBP-10],1
0102146E 74 05 JE SHORT 01021475
01021470 E8 96000000 CALL 0102150B
01021475 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4]
01021478 8901 MOV DWORD PTR DS:[ECX],EAX
0102147A 8345 FC 04 ADD DWORD PTR SS:[EBP-4],4
0102147E 8345 F8 04 ADD DWORD PTR SS:[EBP-8],4
01021482 ^ EB 93 JMP SHORT 01021417
01021484 83C3 14 ADD EBX,14
01021487 ^ E9 51FFFFFF JMP 010213DD
0102148C 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8]
0102148F 035B 3C ADD EBX,DWORD PTR DS:[EBX+3C]
01021492 C783 80000000 0>MOV DWORD PTR DS:[EBX+80],0
0102149C C783 84000000 0>MOV DWORD PTR DS:[EBX+84],0
010214A6 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
010214A9 8BE5 MOV ESP,EBP
010214AB 5D POP EBP
010214AC C2 0400 RETN 4 ; 移动光标到这里按F4
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课