-
-
[庆祝论坛改版]以壳解壳之SVKP
-
发表于: 2007-11-24 12:14
-
【文章标题】: 以壳解壳SVKP
【文章作者】: wynney
【软件名称】: 硬盘里找的
【下载地址】: 自己搜索下载
【作者声明】: 工作不怎么忙了,出来冒冒泡
--------------------------------------------------------------------------------
【详细过程】
一、到OEP去溜达,SFX
忽略所有异常,看图,Ctrl+F2,不一会就到FOEP了[如果中间有异常,Shift+F9过]
00405DC8 . 53 push ebx ; SFX 代码真实入口点
00405DC9 . 8BD8 mov ebx,eax ; 很典型的Delphi特征
00405DCB . 33C0 xor eax,eax
00405DCD . A3 9C304800 mov dword ptr ds:[48309C],eax
00405DD2 . 6A 00 push 0
00405DD4 . E8 2BFFFFFF call SVKP.00405D04
00405DD9 . A3 64664800 mov dword ptr ds:[486664],eax
00405DDE . A1 64664800 mov eax,dword ptr ds:[486664]
00405DE3 . A3 A8304800 mov dword ptr ds:[4830A8],eax
00405DE8 . 33C0 xor eax,eax
00405DEA . A3 AC304800 mov dword ptr ds:[4830AC],eax
00405DEF . 33C0 xor eax,eax
00405DF1 . A3 B0304800 mov dword ptr ds:[4830B0],eax
00405DF6 . E8 C1FFFFFF call SVKP.00405DBC
00405DFB . BA A4304800 mov edx,SVKP.004830A4
00405E00 . 8BC3 mov eax,ebx
00405E02 . E8 9DDDFFFF call SVKP.00403BA4
00405E07 . 5B pop ebx
00405E08 . C3 retn ; 返回到FOEP
004823B7 E8 0C3AF8FF call SVKP.00405DC8 ; FOEP,上面的代码被抽,今天不讲如何修复Stolen
004823BC A1 2C5C4800 mov eax,dword ptr ds:[485C2C] ; retn到这
005B8000 > 60 pushad ; 入口
005B8001 E8 00000000 call SVKP.005B8006 ; F8到这,hr ESP
005B8006 5D pop ebp
005B8007 81ED 06000000 sub ebp,6
00FBDC09 CD 01 int 1 ; 最后一次内存异常
00FBDC0B E8 01000000 call 00FBDC11
00FBDC10 - E9 83C4047C jmp 7D00A098
00FBDC15 03EB add ebp,ebx
00FBDC17 039A 74FB648F add ebx,dword ptr ds:[edx+8F64FB74]
00FBDC1D 05 00000000 add eax,0
00FBDC22 E8 02000000 call 00FBDC29
00FBDC27 CD20 83042408 vxdcall 8240483
00FBDC2D C3 retn
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
我是说你这种方法不能跨平台
 因为不同机器可能补区段的地址不同,这样指向这个区段的IAT就成了问题. "就要看你会不会处理跨平台了"请教如何解决? |
|
|
我是说你会不会在后面处理跨平台,Undersatand?
|
|
|
|
|
|
|
|
|
|
