2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、ZProtectZProtect加殼程序脫殼筆記加殼程序脫殼筆記之前寫了一個ZP的IAT加密方式分析,這里繼續(xù)接著前面的文章,寫一個ZProtect加殼的程序的完整脫殼筆記。目標(biāo)程序是一個用ZP二次加密的程序,可能是某位大俠的作品,小弟這里只是隨手拿來做個演示,有什么冒犯之處,敬請見諒。目標(biāo)程序在附件中。運行一下程序,程序提示只能運行三次,每次只能運行十分鐘,看來這個是要先干掉這個對話框再說了~寫個lpkhookDialogBoxInd

2、irectParam這個api然后返回232C即可。膜拜一下卡卡大大強(qiáng)大的代碼。把這個lpk放在軟件目錄下就沒有注冊框了?,F(xiàn)在可以O(shè)D載入了~1,到OEP去上次我的分析里面說了,如何最快到達(dá)OEP的方式就是用ESP定律。過了pushad以后,下HrESP然后就到了。查找FF25發(fā)現(xiàn)殼沒有處理IAT調(diào)用的代碼,只是對IAT進(jìn)行了加密,看來這個應(yīng)該是1.4.01.4.4之間的某個版本。2,修復(fù)IAT通過查找FF25很容易確定IAT的位置。1

3、.005A319000641378店鋪寶貝.006413782.005A319400641798店鋪寶貝.006417983.005A319800641B10店鋪寶貝.00641B104.005A319C00E300005.005A31A000E3000E6.005A31A400641048店鋪寶貝.006410487.005A31A8006411E0店鋪寶貝.006411E0復(fù)制代碼下面是一部分IAT,可以看出IAT的處理方式有兩種。

4、修復(fù)的時候也要分兩種情況進(jìn)行修復(fù)。根據(jù)我上篇的分析文章的結(jié)論,兩種加密方式最后是殊途同歸的:push提取碼調(diào)用獲取函數(shù)序號的call按照隱藏的IAT基址序號的方式來尋址。下面看看兩種不同方式的提取碼和call的調(diào)用方式。方式一00406A54FF2564325A00jmpdwdptrds:[5A3264]ds:[005A3264]=00E301421.00E3014250pusheax38.00E3014E61popad39.00E30

5、14FC3retn復(fù)制代碼方式二00406A64FF255C325A00jmpdwdptrds:[5A325C]ds:[005A325C]=00641A44(店鋪寶貝.00641A44)1.00641A44686B95B4ADpushADB4956B這個就是提取碼了~2.00641A49E95E070000jmp店鋪寶貝.006421AC3.006421ACE917F26500jmp00CA13C84.00CA13C860pushad5

6、.00CA13C9FF742420pushdwdptrss:[esp20]6.00CA13CDE8ADFAFFFFcall00CA0E7F7.00CA0E7FA17448CA00moveaxdwdptrds:[CA4874]8.00CA0E8480780C00cmpbyteptrds:[eaxC]09.00CA0E887457jesht00CA0EE110.00CA0E8AFF152810C900calldwdptrds:[C91028

7、]kernel32.GetTickCount11.00CA0E908BC8movecxeax12.00CA0E922B0D4046CA00subecxdwdptrds:[CA4640]13.00CA0E9881F988130000cmpecx138814.00CA0E9E7641jbesht00CA0EE115.00CA0EA0FF354446CA00pushdwdptrds:[CA4644]16.00CA0EA6A34046CA00m

8、ovdwdptrds:[CA4640]eax17.00CA0EABFF155810C900calldwdptrds:[C91058]kernel32.ResumeThread18.00CA0EB1833D944ECA000cmpdwdptrds:[CA4E94]319.00CA0EB87C08jlsht00CA0EC220.00CA0EBA6A00push021.00CA0EBCFF151C10C900calldwdptrds:[C91

9、01C]kernel32.ExitProcess22.00CA0EC2803DB848CA000cmpbyteptrds:[CA48B8]023.00CA0EC97408jesht00CA0ED324.00CA0ECBFF05944ECA00incdwdptrds:[CA4E94]25.00CA0ED1EB07jmpsht00CA0EDA26.00CA0ED38325944ECA000dwdptrds:[CA4E94]027.00CA0

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論