碰到一个使用rockey4加密狗的软件,主文件test.exe和testcore.dll,软件里面带有驱动(instrdrv.exe,Ry4com.dll,GeneralKey.exe),我本身带有加密狗,就是脱壳的时候不能正常脱壳?
具体情况如下,我使用OD载入时:
00530000 >- E9 3C00C1FF jmp 00140041
00530005 54 push esp
00530006 53 push ebx
00530007 56 push esi
00530008 57 push edi
00530009 E8 72090000 call 00530980
0053000E 8BD8 mov ebx, eax
00530010 E8 00000000 call 00530015
00530015 5A pop edx
按F7跟进,如下:
00140041 9C pushfd
00140042 60 pushad
00140043 68 00001400 push 140000 ;
00140048 E8 FEAD6C7C call kernel32.LoadLibraryW
0014004D 68 00001400 push 140000 ;
00140052 68 40000000 push 40
00140057 68 05000000 push 5
0014005C 68 00005300 push offset test.<模块入口点>
00140061 E8 6A1A6C7C call kernel32.VirtualProtect
00140066 BE 3C001400 mov esi, 14003C
0014006B BF 00005300 mov edi, offset test.<模块入口点>
00140070 B9 05000000 mov ecx, 5
00140075 F3:A4 rep movs byte ptr es:[edi], byte ptr>
00140077 68 00001400 push 140000 ;
0014007C BB 00001400 mov ebx, 140000 ;
00140081 8B1B mov ebx, dword ptr [ebx]
00140083 53 push ebx
00140084 68 05000000 push 5
00140089 68 00005300 push offset test.<模块入口点>
0014008E E8 3D1A6C7C call kernel32.VirtualProtect
00140093 61 popad
00140094 9D popfd
00140095 - E9 66FF3E00 jmp test.<模块入口点>
这就是软件压缩和解压的过程,但是我运行到这里的时候,dump process出来的还是以前的那个软件,不知道为什么,望大大们指点!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课