-
-
问fly关于Obsidium1.1.4主程序iat加密的修复?
-
发表于: 2004-10-11 16:47
-
iat处理好像是第2个除0 div eax 内……,不知对了没有?
你的iat修复是什么时候下手的,是壳放入壳的加密iat地址前,还是待壳加密后,再运行它的解密代码……还是有其它?参看了一下fly的unpack主程序,有一个api是没有还是假冒还是作者加密了?好像是跳去xor eax,eax + retn的。
怎么它放入壳加密api地址后,我调用它的解密代码却跑了个非法,还是它还没完全解码和加密或留个后着???
ob主程序有时很无聊,call api 时,解密api地址和更改调用call的偏移调用地址到真正的api,放入堆栈执行一些无谓的比较跳转api入口指令。
你的iat修复是什么时候下手的,是壳放入壳的加密iat地址前,还是待壳加密后,再运行它的解密代码……还是有其它?参看了一下fly的unpack主程序,有一个api是没有还是假冒还是作者加密了?好像是跳去xor eax,eax + retn的。
怎么它放入壳加密api地址后,我调用它的解密代码却跑了个非法,还是它还没完全解码和加密或留个后着???
ob主程序有时很无聊,call api 时,解密api地址和更改调用call的偏移调用地址到真正的api,放入堆栈执行一些无谓的比较跳转api入口指令。
|
|
|---|---|
|
|
|
|
|
iat好像不太像“Obsidium加壳记事本的脱壳”,test word ptr ds:[esi],20这里好像只是处理kengen.dll的,没加密,其它的写入加密地址的是这条指令吧: mov [esi],edi,有此aip运行时根本没call,
难道要加密一个文件才会调用???那就要跟它讨……出真面目? 
|
|
|
|
