-
-
[原创]答题一
-
2008-10-4 12:00
2456
-
整体思路: 调用WinExec函数, 该函数位于kernel32.dll中
调用方法:
WinExec("cmd /c \"start http://bbs.pediy.com\"", 0);
转成汇编为:
push 0
push 字符串地址
call WinExec地址
retn
总共14个字节。有点超标了。~~呵呵
步骤:
1. 首先修改pediy.dll的导入表,增加WinExec一项, 把以前看的PE格式拿出
来看看就知道怎么该了。。直接16进制编辑就行
2. 在导出表加入函数OpenUrlA, 我用工具lordpe配合UltraEdit来做
3. 重定位:
由于上面汇编代码中的字符串地址和WinExec地址都需要重定位,所以这一
步也少不了。~~直接修改.reloc节, 将SizeOfBlock直接加4, 然后加入两个
重定位项(字符串地址,和WinExec地址), 就可以了
[培训]《安卓高级研修班(网课)》月薪三万计划,掌
握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法