[原创]对一个IAT加密壳的分析-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]对一个IAT加密壳的分析

发表于: 2009-7-7 22:24 24730

[原创]对一个IAT加密壳的分析

不问年少

2009-7-7 22:24

24730

查看主题内容

收藏・20

免费・7

支持

最新回复 (52) ◀ 1 2 3 ▶
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 26 楼是的。因为不清楚你的状况，所以如果想了解，还是你需要问什么吧，我知无不言。你的悄悄话发不了。无他，只是想投桃报李。 2009-7-13 05:57 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 27 楼 http://bbs.pediy.com/showthread.php?threadid=10651%C2%A0 【原创】加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理 -------------------------------------------------------------------------------- 标题: 【原创】加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理作者: ytcswb 时间: 2005-02-01,16:40 链接: http://bbs.pediy.com/showthread.php?t=10651 2009-7-13 06:18 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 28 楼报告王晶大哥我想要跟卓文萱吃顿饭 2009-7-13 08:51 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 29 楼一时不来论坛风起云涌啊!:) 2009-7-13 11:14 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 30 楼秀色可餐啊。女人是情感的动物。要打动女人心，在下倒是有些体会。一是注意营造氛围，最常见的是将浪漫时间选在晚上。黑色的貌似安全感，很容易打动女人心。当然，钞票也要多花些。二是练练口才，有文学素养更佳。女人的耳朵是最软的。凭大侠的幽默，此招不难。三是浪漫情调的导演。这取决于男人的综合素质，是雅俗的分水岭。如何让女人遐思无限，情动泪涌，在乎个人功力。四是抚摸技巧的掌握和拿捏。五是经济基础决定上层建筑。对于娱乐圈，尤其如此。以上是和卓文萱吃饭的精要，在下心得，与大侠分享。 2009-7-13 12:39 0
onermb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	onermb 31 楼学习了，谢谢分享~~~ 2009-7-13 16:08 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 32 楼我早就发现了此帖有潜力果然火了 2009-7-13 16:32 0
wenquanshu 雪币： 205 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wenquanshu 33 楼如在ZWContinue处仍按F8，程序就会直接启动，可见 CAll ZWContinue 内有玄机，跟进可知其调用了KiFastSystemCall，因此在CAll ZWContinue 之前的压栈即SHE返回地址！ 2009-7-14 16:46 0
renwoxiao 雪币： 318 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 100 粉丝 0 关注私信	renwoxiao 1 34 楼问一下，call kernel32.GetProcAddress 这个函数是从哪里来的，谢谢 2009-7-15 20:44 0
惜雪雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 0 关注私信	惜雪 35 楼绕过IAT加密部分，值得学习！整个思路清晰，好文！如几位老兄说的：彪悍的直觉不需要原理，可叹没有那么彪悍的直觉啊！ 2009-7-16 18:41 0
cailu绿叶雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	cailu绿叶 36 楼学习，有代表性，实践可以得真知。 2009-7-16 22:02 0
CHYX 雪币： 101 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	CHYX 37 楼支持一下，非常的好。学习。 2009-7-22 12:58 0
wuhanqi 雪币： 324 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 24 回帖 91 粉丝 0 关注私信	wuhanqi 5 38 楼可以理解第二和第三张图的原理了.可是如果我调试的程序跟随到堆栈的那个地址后不是个jmp.该怎么处理? 跟下去貌似是不行的... 2009-7-24 18:34 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 39 楼强，本人小菜学习了 2009-7-27 14:55 0
张心雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	张心 40 楼好帖啊学习学习 2009-7-27 21:18 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 41 楼强烈要求来个视频教材，把自己的思路介绍一下，解析一下，太多问题没搞明白了。。 2009-7-28 19:58 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 42 楼 --------------------------- 错误 --------------------------- 调试的程序设置了单步标志（bit T 在 EFL）。我不知道如何执行正确的单步命令在地址 00401016 处。请尝试 set 断点在下一个命令处然后运行。 --------------------------- 确定 --------------------------- 运行到这步就不行了。。具体怎么操作下去.. 2009-7-28 20:06 0
wzjok 雪币： 398 活跃值： (59) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 104 粉丝 0 关注私信	wzjok 1 43 楼晕，我本想亦步亦趋的试练，可怎么也整不出来！＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝经过不懈的努力，终于有点头绪了，也大概看懂了庖丁们解牛的过程了，在这里要谢谢goodlucky的《学习笔记：单步法手脱PECompact 2.5 Retail - Jeremy Collake》，是他给我信心，是他的文章指引我一路跟下去，然后再回过头来进一步研读这篇文章！再次感谢goodlucky！ 2009-8-4 17:44 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 44 楼不用客气，我也是新手，正在学习中 2009-8-5 01:28 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 45 楼学习下！感谢“不问年少” 2图 3图是什么原理？有时间就做了个动画不能继续的朋友可以看下 http://www.namipan.com/d/%e5%bd%95%e5%83%8f3.rar/a652f89d48d740d99595eb5572ad4d66ca29e27ccce6fb00 2009-8-8 19:24 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 46 楼膜拜中............ 2009-8-8 23:42 0
qianzui 雪币： 220 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	qianzui 47 楼 00401016处我也没发现，你所说的“ 到00401016处，是一个无条件跳转指令： ”，而是“00401016 8908 mov dword ptr ds:[eax], ecx ”，能说说，在00720FAF处直接下断的过程吗？这个00720FAF，好像是一个关键点，想不通，郁闷中。。。 2009-8-9 21:32 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 48 楼看了一些回复，感觉不少人有点夸张，还不到膜拜的程度吧。虽然我很菜，但是我也知道类似的更精彩的脱壳文。 http://bbs.pediy.com//showthread.php?t=87760 这个壳好像是04年的。建议看到IAT加密处理那一部分时直接跳到OEP分析那里运行OEP查看加壳后文件如何调用API函数，然后回头看IAT加密部分。别看长，耐心点能有不少体会。更难的，分析的更全面的还有 http://bbs.pediy.com/showthread.php?t=80422 能分析完这个，楼主功力真是相当深厚，实在是好文。 2009-8-10 13:37 0
unicoco 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 61 粉丝 0 关注私信	unicoco 49 楼楼主把你调试用的.exe 发出来啊。这样才能真正学到东西 2009-8-10 16:57 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 50 楼学习了，但只是一知半解的，也就是说，何时发现IAT部分已经被写入了正确的函数地址信息，这点不太明白。 2009-8-10 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

不问年少

发帖

586

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) ◀ 1 2 3 ▶
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 26 楼是的。因为不清楚你的状况，所以如果想了解，还是你需要问什么吧，我知无不言。你的悄悄话发不了。无他，只是想投桃报李。 2009-7-13 05:57 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 27 楼 http://bbs.pediy.com/showthread.php?threadid=10651%C2%A0 【原创】加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理 -------------------------------------------------------------------------------- 标题: 【原创】加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理作者: ytcswb 时间: 2005-02-01,16:40 链接: http://bbs.pediy.com/showthread.php?t=10651 2009-7-13 06:18 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 28 楼报告王晶大哥我想要跟卓文萱吃顿饭 2009-7-13 08:51 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 29 楼一时不来论坛风起云涌啊!:) 2009-7-13 11:14 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 30 楼秀色可餐啊。女人是情感的动物。要打动女人心，在下倒是有些体会。一是注意营造氛围，最常见的是将浪漫时间选在晚上。黑色的貌似安全感，很容易打动女人心。当然，钞票也要多花些。二是练练口才，有文学素养更佳。女人的耳朵是最软的。凭大侠的幽默，此招不难。三是浪漫情调的导演。这取决于男人的综合素质，是雅俗的分水岭。如何让女人遐思无限，情动泪涌，在乎个人功力。四是抚摸技巧的掌握和拿捏。五是经济基础决定上层建筑。对于娱乐圈，尤其如此。以上是和卓文萱吃饭的精要，在下心得，与大侠分享。 2009-7-13 12:39 0
onermb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	onermb 31 楼学习了，谢谢分享~~~ 2009-7-13 16:08 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 32 楼我早就发现了此帖有潜力果然火了 2009-7-13 16:32 0
wenquanshu 雪币： 205 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wenquanshu 33 楼如在ZWContinue处仍按F8，程序就会直接启动，可见 CAll ZWContinue 内有玄机，跟进可知其调用了KiFastSystemCall，因此在CAll ZWContinue 之前的压栈即SHE返回地址！ 2009-7-14 16:46 0
renwoxiao 雪币： 318 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 100 粉丝 0 关注私信	renwoxiao 1 34 楼问一下，call kernel32.GetProcAddress 这个函数是从哪里来的，谢谢 2009-7-15 20:44 0
惜雪雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 0 关注私信	惜雪 35 楼绕过IAT加密部分，值得学习！整个思路清晰，好文！如几位老兄说的：彪悍的直觉不需要原理，可叹没有那么彪悍的直觉啊！ 2009-7-16 18:41 0
cailu绿叶雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	cailu绿叶 36 楼学习，有代表性，实践可以得真知。 2009-7-16 22:02 0
CHYX 雪币： 101 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	CHYX 37 楼支持一下，非常的好。学习。 2009-7-22 12:58 0
wuhanqi 雪币： 324 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 24 回帖 91 粉丝 0 关注私信	wuhanqi 5 38 楼可以理解第二和第三张图的原理了.可是如果我调试的程序跟随到堆栈的那个地址后不是个jmp.该怎么处理? 跟下去貌似是不行的... 2009-7-24 18:34 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 39 楼强，本人小菜学习了 2009-7-27 14:55 0
张心雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	张心 40 楼好帖啊学习学习 2009-7-27 21:18 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 41 楼强烈要求来个视频教材，把自己的思路介绍一下，解析一下，太多问题没搞明白了。。 2009-7-28 19:58 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 42 楼 --------------------------- 错误 --------------------------- 调试的程序设置了单步标志（bit T 在 EFL）。我不知道如何执行正确的单步命令在地址 00401016 处。请尝试 set 断点在下一个命令处然后运行。 --------------------------- 确定 --------------------------- 运行到这步就不行了。。具体怎么操作下去.. 2009-7-28 20:06 0
wzjok 雪币： 398 活跃值： (59) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 104 粉丝 0 关注私信	wzjok 1 43 楼晕，我本想亦步亦趋的试练，可怎么也整不出来！＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝经过不懈的努力，终于有点头绪了，也大概看懂了庖丁们解牛的过程了，在这里要谢谢goodlucky的《学习笔记：单步法手脱PECompact 2.5 Retail - Jeremy Collake》，是他给我信心，是他的文章指引我一路跟下去，然后再回过头来进一步研读这篇文章！再次感谢goodlucky！ 2009-8-4 17:44 0
goodlucky 雪币： 257 活跃值： (28) 能力值： ( LV7，RANK：100 ) 在线值：发帖 25 回帖 286 粉丝 0 关注私信	goodlucky 2 44 楼不用客气，我也是新手，正在学习中 2009-8-5 01:28 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 45 楼学习下！感谢“不问年少” 2图 3图是什么原理？有时间就做了个动画不能继续的朋友可以看下 http://www.namipan.com/d/%e5%bd%95%e5%83%8f3.rar/a652f89d48d740d99595eb5572ad4d66ca29e27ccce6fb00 2009-8-8 19:24 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 46 楼膜拜中............ 2009-8-8 23:42 0
qianzui 雪币： 220 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	qianzui 47 楼 00401016处我也没发现，你所说的“ 到00401016处，是一个无条件跳转指令： ”，而是“00401016 8908 mov dword ptr ds:[eax], ecx ”，能说说，在00720FAF处直接下断的过程吗？这个00720FAF，好像是一个关键点，想不通，郁闷中。。。 2009-8-9 21:32 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 48 楼看了一些回复，感觉不少人有点夸张，还不到膜拜的程度吧。虽然我很菜，但是我也知道类似的更精彩的脱壳文。 http://bbs.pediy.com//showthread.php?t=87760 这个壳好像是04年的。建议看到IAT加密处理那一部分时直接跳到OEP分析那里运行OEP查看加壳后文件如何调用API函数，然后回头看IAT加密部分。别看长，耐心点能有不少体会。更难的，分析的更全面的还有 http://bbs.pediy.com/showthread.php?t=80422 能分析完这个，楼主功力真是相当深厚，实在是好文。 2009-8-10 13:37 0
unicoco 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 61 粉丝 0 关注私信	unicoco 49 楼楼主把你调试用的.exe 发出来啊。这样才能真正学到东西 2009-8-10 16:57 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 50 楼学习了，但只是一知半解的，也就是说，何时发现IAT部分已经被写入了正确的函数地址信息，这点不太明白。 2009-8-10 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复