[讨论]写壳习作 + 请教-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]写壳习作 + 请教

发表于: 2009-9-7 16:43 5339

[讨论]写壳习作 + 请教

bootdisk

2009-9-7 16:43

5339

放个记事本大家试试，OEP比较好找，主要是处理了一下输入表，大家指点一下。

另外有个问题，输入表中有一些函数，填入IAT的实际是个指针，指向另一个函数的地址，比如记事本的这里

0100131C >77C317AC  offset msvcrt._acmdln
01001320 >77BEEEEB  msvcrt.__getmainargs
01001324 >77C09D67  msvcrt._initterm
01001328 >77C1D695  msvcrt.__setusermatherr
0100132C >77C323D8  offset msvcrt._adjust_fdiv

这两个函数msvcrt._acmdln 和 msvcrt._adjust_fdiv，存的是offset，这种如果改掉IAT的地址再jmp过去就会出错，因为指向的不是函数。不知对于这样的函数如何判断，似乎VC的程序有这样的，delphi的好像没有

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

notepad.rar （33.95kb，15次下载）

收藏・1

免费

支持

最新回复 (2)
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 2 楼被金山毒霸杀掉了，未能过金山杀软，楼主用了特殊的方法？ 2009-9-7 22:18 0
bootdisk 雪币： 218 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	bootdisk 3 楼开始有些花指令，不知道是不是这的问题 2009-9-7 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bootdisk

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 2 楼被金山毒霸杀掉了，未能过金山杀软，楼主用了特殊的方法？ 2009-9-7 22:18 0
bootdisk 雪币： 218 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	bootdisk 3 楼开始有些花指令，不知道是不是这的问题 2009-9-7 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]写壳习作 + 请教

账号登录 验证码登录

账号登录

验证码登录