首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
这里是不是magic jmp
发表于: 2004-10-2 02:38 4581

这里是不是magic jmp

limee 活跃值
2004-10-2 02:38
4581
手工脱一个armadillo的壳,就不知道~~号的地方
是不是magic jmp的地方?

00AF5331   MOV    ECX,DWORD PTR DS:[B1D860]
00AF5337   MOV    DWORD PTR DS:[ESI+ECX],EAX
00AF533A   MOV    EAX,DWORD PTR DS:[B1D860]
00AF533F   CMP    DWORD PTR DS:[ESI+EAX],EDI
00AF5342   JNZ    SHORT 00AF535A
00AF5344   LEA    EAX,DWORD PTR SS:[EBP-14C]
00AF534A   PUSH   EAX
00AF534B   CALL   DWORD PTR DS:[B150B8]
00AF5351   MOV    ECX,DWORD PTR DS:[B1D860]
00AF5357   MOV    DWORD PTR DS:[ESI+ECX],EAX
00AF535A   MOV    EAX,DWORD PTR DS:[B1D860]
00AF535F   CMP    DWORD PTR DS:[ESI+EAX],EDI
00AF5362   JE     00AF5415  ; magic jmp
           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
            这里是不是magic jmp??
            这里改为JMP 00AF5415并不能避免iat加密?
            大家觉得哪??
00AF5368   00AF535A   XOR    ECX,ECX
00AF536A   MOV    EAX,DWORD PTR DS:[EBX]      
00AF536C   CMP    DWORD PTR DS:[EAX],EDI
00AF536E   JE     SHORT 00AF5376

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (1)
fxyang
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
私信
2
arm的壳iat解码的magic jmp其实很容易找,下面给出3.75版的magic jmp段的代码:

mgaic jmp:

00F752F6  POP ECX
00F752F7  AND DWORD PTR SS:[EBP-2B50],0
00F752FE  PUSH 0
00F75300  CALL DWORD PTR DS:[F7D0CC]               ; kernel32.GetModuleHandleA

//bp kernel32.GetModuleHandleA 断在这里

00F75306  CMP DWORD PTR SS:[EBP-2B4C],EAX
00F7530C  JNZ SHORT 00F7531D
00F7530E  MOV DWORD PTR SS:[EBP-2B50],0F81B30
00F75318  JMP 00F753E1
00F7531D  AND DWORD PTR SS:[EBP-2D74],0
00F75324  MOV DWORD PTR SS:[EBP-2D78],0F82170
00F7532E  JMP SHORT 00F7534C
00F75330  MOV EAX,DWORD PTR SS:[EBP-2D78]
00F75336  ADD EAX,0C
00F75339  MOV DWORD PTR SS:[EBP-2D78],EAX
00F7533F  MOV EAX,DWORD PTR SS:[EBP-2D74]
00F75345  INC EAX
00F75346  MOV DWORD PTR SS:[EBP-2D74],EAX
00F7534C  MOV EAX,DWORD PTR SS:[EBP-2D78]
00F75352  CMP DWORD PTR DS:[EAX],0

//看看这个典型的比较

00F75355  JE 00F753E1

//呵呵,这个就是梦寐以求的magic jmp 修改为jmp

00F7535B  MOV EAX,DWORD PTR SS:[EBP-2D78]
00F75361  MOV EAX,DWORD PTR DS:[EAX+8]
00F75364  AND EAX,1
00F75367  TEST EAX,EAX
00F75369  JE SHORT 00F75390


只是现在的版本都不是很容易到这个地方的,前面有无数的anti在等你。不是简单的一个bp就能解决问题。
2004-10-2 08:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//