-
-
[讨论]初破ExeCryptor 2.XX 笔记
-
发表于: 2007-9-13 10:25
-
初破ExeCryptor 2.XX 笔记
天天ASP,UPX做了N多了,今天换手,来试试ExeCryptor,呵呵.
首先看了很多大大的破文.收获颇多。但还有很多没搞清楚的。还请各位大大指点
首先按老规矩,OD载入,停系统断点。
运行ByPass AntiDBG OEP 1.1 成功完成,如下图
伪OPE 00731BBA
接下来,解密IAT
1.Ctrl+G:401000,新建EIP
2.确定加密IAT表地址:LordPE查看区段表
虚拟偏移:229000+400000=629000
在数据框内确定IAT表开始和结束位置。
00629AA0 00000000 IAT 开始
00629AA4 770F4880 oleaut32.SysFreeString
00629AA8 771244AD oleaut32.SysReAllocStringLen
00629AAC 770F4BA7 oleaut32.SysAllocStringLen
00629AB0 00000000
00629AB4 00630C8E Main.00630C8E
00629AB8 0063A6D2 Main.0063A6D2
00629ABC 007354F8 Main.007354F8
00629AC0 00000000
00629AC4 0064586B Main.0064586B
00629AC8 0062F651 Main.0062F651
00629ACC 0073663A ASCII "QhN3r"
。。。。。。。。。。。。。。。。。。
。。。。。。。。。。。。。。。。。。
0062A350 71A24519 WS2_32.ioctlsocket
0062A354 71A22BF4 WS2_32.inet_addr
0062A358 71A22B66 WS2_32.ntohs
0062A35C 71A2406A WS2_32.connect
0062A360 71A29639 WS2_32.closesocket
0062A364 00000000
0062A368 770FAB11 oleaut32.SafeArrayCreate
0062A36C 770FABCC oleaut32.SafeArrayPtrOfIndex
0062A370 770FACF5 oleaut32.SafeArrayPutElement
0062A374 770FAC4F oleaut32.SafeArrayGetElement
0062A378 00000000 IAT 结束
3.运行IAT Rebuilder PE-Kill脚本,
IAT解密完成。
4.用PETools转存为:dumped.exe
用importREC,OEP=0331BBA RVA=00229AA4
保存为dumped_.exe
修复转存结束。
5.还原TLS:(这里还是不清楚哦)
先确定原来TLS表地址:0022E000,
修改TLS表如图
(感觉这里好像不对。)
6.修复OEP
OD载入dumped_.exe
出错
点确定,OD停在这里:
请问大大,我是在那里出了错???
天天ASP,UPX做了N多了,今天换手,来试试ExeCryptor,呵呵.
首先看了很多大大的破文.收获颇多。但还有很多没搞清楚的。还请各位大大指点
首先按老规矩,OD载入,停系统断点。
运行ByPass AntiDBG OEP 1.1 成功完成,如下图
伪OPE 00731BBA
接下来,解密IAT
1.Ctrl+G:401000,新建EIP
2.确定加密IAT表地址:LordPE查看区段表
虚拟偏移:229000+400000=629000
在数据框内确定IAT表开始和结束位置。
00629AA0 00000000 IAT 开始
00629AA4 770F4880 oleaut32.SysFreeString
00629AA8 771244AD oleaut32.SysReAllocStringLen
00629AAC 770F4BA7 oleaut32.SysAllocStringLen
00629AB0 00000000
00629AB4 00630C8E Main.00630C8E
00629AB8 0063A6D2 Main.0063A6D2
00629ABC 007354F8 Main.007354F8
00629AC0 00000000
00629AC4 0064586B Main.0064586B
00629AC8 0062F651 Main.0062F651
00629ACC 0073663A ASCII "QhN3r"
。。。。。。。。。。。。。。。。。。
。。。。。。。。。。。。。。。。。。
0062A350 71A24519 WS2_32.ioctlsocket
0062A354 71A22BF4 WS2_32.inet_addr
0062A358 71A22B66 WS2_32.ntohs
0062A35C 71A2406A WS2_32.connect
0062A360 71A29639 WS2_32.closesocket
0062A364 00000000
0062A368 770FAB11 oleaut32.SafeArrayCreate
0062A36C 770FABCC oleaut32.SafeArrayPtrOfIndex
0062A370 770FACF5 oleaut32.SafeArrayPutElement
0062A374 770FAC4F oleaut32.SafeArrayGetElement
0062A378 00000000 IAT 结束
3.运行IAT Rebuilder PE-Kill脚本,
IAT解密完成。
4.用PETools转存为:dumped.exe
用importREC,OEP=0331BBA RVA=00229AA4
保存为dumped_.exe
修复转存结束。
5.还原TLS:(这里还是不清楚哦)
先确定原来TLS表地址:0022E000,
修改TLS表如图
(感觉这里好像不对。)
6.修复OEP
OD载入dumped_.exe
出错
点确定,OD停在这里:
请问大大,我是在那里出了错???
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
