-
-
[旧帖]
[推荐][讨论]伪装壳技术
0.00雪花
-
发表于:
2008-2-13 04:41
3685
-
[旧帖] [推荐][讨论]伪装壳技术
0.00雪花
伪装壳技术
先载入程序
00401128 ====>入口
直接找块空地方,把滚动条往下拉,看到代码都是00的就是空地了
我就选00401B9C这里吧,紧贴着上面的代码呢!
双击修改指令,写入下面的代码(抄的)
push ebp
mov ebp,esp
push -1
push 666666
push 888888
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 401128 ====>跳到入口,自行修改
记住最后一句是跳到真正的入口,这个程序是401128
再用LordPE来修改入口点,改成1B9C后保存
深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码:
============================
伪装代码部分:
============================
mov eax,0040E000
push 004153F3
push dword ptr fs:[0]
mov dword ptr fs:[0],esp
pushfw
pushad
push eax
xor ebx,ebx
pop eax
popad
popfw
pop dword ptr fs:[0]
pop eax
jmp XXXXXXXX '执行到程序的原有OEP
0040EC8E B8 00E04000 MOV EAX,123.0040E000 ; 这里了写代码
3351f363a6137843a64c170359049c2a 教程.exe
http://www.namipan.com/d/%E4%BC%AA%E8%A3%85%E5%A3%B3%E6%8A%80%E6%9C%AF.rar/cd3fc48e3adb9b39f3a510eea41363bccc029d4d74da5200
[课程]Android-CTF解题方法汇总!
