首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]molebox 附加数据的问题,
发表于: 2008-8-28 20:53 6196

[求助]molebox 附加数据的问题,

aaa2520 活跃值
1
2008-8-28 20:53
6196

molebox 附加数据的问题,

一个 molebox 加壳的程序,主程序 根据老大们的方法很快就搞定了,但是附加的一段 视频怎么也找不到,好像是附加到加壳程序的后面了,看介绍,这个壳有两种 加密数据的方法,一个是按照字节xor 另一个是根据密钥加密(具体算法未知)。

老大们有什么好方法直接avi 的视频找出来吗?
老大们的介绍都是dll 什么的,dump附加数据的方法也一样,吗?


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (6)
creantan
雪    币: 201
活跃值: (269)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
私信
2
关注中。。。。
2008-9-6 12:02
0
zhangtaixi
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
也想知道~~等~
2008-11-3 13:09
0
myver
雪    币: 103
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我也正在为这个问题烦恼呢!
2008-11-19 16:19
0
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
5
我给你说个思路,看行不行。

你是已经DUMP主程序了,是吧

你同时跟踪压缩过的程序和主程序。

在脱壳后主程序中下断CreateFileA,如果原来程序是通过这个API来访问附加的视频文件数据的话,在播放文件时会中断下来。然后返回到用户代码中。

现在来到压缩过的那个程序,Ctrl+G来到同样的地方,因为MOLE会偷API开头的字节,所以你看到本来应该调用CreateFile的地方却调用了其它函数。

不管它,因为它就是CreateFile。F8后看EAX,如果不是-1,那么就是有效的文件句柄。

关键到了:不管它下面是ReadFile还是CreateFileMapping,你只要找到缓冲区,然后DUMP出来就是了。

PS.如果程序不是CreateFile打开可执行文件本身的方法来访问附加数据,而是其它方法,比如LoadResource,方法是类似的。

因为mole压缩后,会把所有对系统API的调用都转向它“偷来的函数开头的代码”,然后再跳向真正的API函数(不是开头而是下面的几个字节,这样是为了对付API断点),所以需要先用脱壳后的主程序找到正确的代码位置。
2008-11-19 17:30
0
darkradx
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
学习一下,提附加数据可是复杂啊
2008-12-23 02:19
0
whsnl
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
今天我也碰到了 脱不了啊
2009-2-7 19:22
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//