-
-
[旧帖] 新手对ASPACK壳脱掉后的INT3处理 0.00雪花
-
2009-8-10 13:19 1146
-
一个QQ信息查看的工具,脱壳后无法正常运行,虽然是个ASPACK壳,但是脱壳后INT3异常!
正如精华帖里所讲,脱壳后不能运行大多是由于有校验存在,于是跟踪!
OD载入 F9运行
00406044 E8 F7F0FFFF call 00405140
00406049 85C0 test eax, eax
0040604B 75 01 jnz short 0040604E
0040604D CC int3
断在INT3
问题出在这,对INT3上面代码分析,JNZ需要跳,即EAX需要不为零,于是进入CALL修改代码
mov eax,1
ret
保存文件,运行,OK了!
正如精华帖里所讲,脱壳后不能运行大多是由于有校验存在,于是跟踪!
OD载入 F9运行
00406044 E8 F7F0FFFF call 00405140
00406049 85C0 test eax, eax
0040604B 75 01 jnz short 0040604E
0040604D CC int3
断在INT3
问题出在这,对INT3上面代码分析,JNZ需要跳,即EAX需要不为零,于是进入CALL修改代码
mov eax,1
ret
保存文件,运行,OK了!
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
赞赏
他的文章
看原图