首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[原创]一次完整的脱壳过程(手工修复IAT,献给和我一样的菜菜)
发表于: 2009-5-17 21:08 14958

[原创]一次完整的脱壳过程(手工修复IAT,献给和我一样的菜菜)

hatling 活跃值
3
2009-5-17 21:08
14958

这里我们的实验对象是vs对战平台正式版-2.6的主程序,
下载地址:http://game.vsa.com.cn/starcraft/jsp/comm/down.html
首先用pied查下壳

UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
0069DD70 >  60              pushad
0069DD71    BE 00E05100     mov esi,VSClient.0051E000
0069DD76    8DBE 0030EEFF   lea edi,ds:[esi+FFEE3000]
0069DD7C    57              push edi
0069DD7D    83CD FF         or ebp,FFFFFFFF

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (25)
luzhenjun
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
喜欢看录像不喜欢看文章
2009-5-17 23:42
0
清风吻雪
雪    币: 16
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
恩,视频有直观的感觉,文字描述的手法,不同人,不同喜好罢了
2009-5-18 15:54
0
古月胡
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
学习手工修复IAT的方法
2009-5-19 14:54
0
guyuelang
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
要是有视频还是好些
楼主已经超越菜菜了
2009-5-19 17:29
0
xygwf
雪    币: 91
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
既然都详细到这个份子上:

为什么要在GetProcAddress下断呢?
2009-5-20 09:49
0
木羊
雪    币: 1556
活跃值: (310)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
7
只能膜拜
2009-5-20 10:00
0
hatling
雪    币: 229
活跃值: (498)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
8
I(mport)A(ddress)T(able)->函数地址引入表
所以在写iat之前,壳程序必须先获得被加壳程序要用到的所有的函数地址..这样才能正确的写iat
"教程相关文件.txt"里面有
2009-5-20 11:46
0
ciey
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
真好 还有视频教程~
2009-5-22 17:57
0
chenwine
雪    币: 217
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
有时看一下文字也不失为一好的学习方法,支持一下,何时才能成长为高手,郁闷中。
2009-5-22 18:21
0
huzhao
雪    币: 388
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
11
楼主写的脱文很精彩,讲解很详细很精辟,虽然这个壳是个简单的压缩壳,但是,能想楼主这样讲解透彻的人不多,。
2009-5-25 02:05
0
黄哈哈
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
脱文写的太抽象,看看教程有没有收获
2009-5-26 11:01
0
mengyanxu
雪    币: 270
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
录像来的直接
2009-5-26 15:09
0
ziyihou
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
14
学习下,呵呵
2009-5-28 10:33
0
ykoshi
雪    币: 291
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
讲解很详细很精辟
2009-5-28 14:21
0
章含羽
雪    币: 258
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
mov ds:[ebx],eax就是在写IAT了,eax就是函数地址
ebx的值我们要找的IAT的VA

你是怎么知道ebx就是IAT的VA?从哪里可以看出mov ds:[ebx],eax在写IAT
2009-5-28 15:03
0
PEBOSS
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
录像怎么看不了了呢?
2009-6-15 12:13
0
avzz
雪    币: 264
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
很不错的说
我以为vs会加点猛壳 没想到就是个upx的壳,也可以看看dll。。
2009-6-15 16:52
0
simpleson
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
看视频比较舒服
2009-6-15 17:17
0
sclsch
雪    币: 223
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
楼主好心做到底,做个视频吧。
2009-6-23 10:18
0
sclsch
雪    币: 223
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
不好意思,没注意有视频。谢谢
2009-6-23 10:23
0
XIEHUIS
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
写得不错,也很详细,学习
2009-6-24 23:43
0
ehome
雪    币: 195
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
录像实在点。我喜欢。谢谢啊
2009-6-29 01:22
0
qiyao
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
楼主,你的视频用nami下不下来????
2009-6-30 20:50
0
gaorqing
雪    币: 304
活跃值: (66)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
25
学习学习。个人感觉文字写的不错,容易理解
2009-7-9 10:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//