时间:2021-05-25
脱壳过程感觉与Unpacking Saga的那个UnpackMe没有太大的不同。最明显的一点是,其中的异常多了很多。大部分是固定模式的int 3解码。因为一开始打算全程跟,所以一边跟一边修改去除junk code的IDC script,写OllyScript脚本,并用WinHex把解出的代码贴到ACProtect_Fixed.exe,在IDA中用Load File|Reload the input file加载后对照。
如果在OllyDbg110C下忽略所有异常,运行时报:
500)this.width=500" title="点击这里用新窗口浏览图片" />
1. 关于int 3解码
壳中有大量的int 3解码,一边执行一边解。具有相同的调用模式:
500)this.width=500" title="点击这里用新窗口浏览图片" />
在int 3的SHE中(下面的div 0异常也是同一个SEH),当exception code为0x80000003时,在Dr0-Dr3中设置了新的值,即设置了4个硬件执行断点,就在紧临int 3下面的位置。这样执行到这4句,会触发4次异常。如果在这里F7过,SHE不会执行。
500)this.width=500" title="点击这里用新窗口浏览图片" />
当由上面的4个断点引发异常时:
500)this.width=500" title="点击这里用新窗口浏览图片" />
每次异常,会设置某个寄存器。4次异常处理必须执行,否则寄存器中没有正确值,下面的解码会失败。这样又顺便清除cracker的断点,是个不错的主意J。
500)this.width=500" title="点击这里用新窗口浏览图片" />
结束异常处理后,开始解码。格式是一样的,用的register不同。这里可以得到起始地址(。
500)this.width=500" title="点击这里用新窗口浏览图片" />
在jnz下面的地址F4,然后查看前面用于寻址的寄存器的值,减1就是解码结束地址。
500)this.width=500" title="点击这里用新窗口浏览图片" />
解完后跟着一个div 0异常。只有anti-debug作用,直接跳过即可。
2. 避开IAT加密
在第16个int 3的解码过程中,隐藏了IAT加密。其实在OllyDbg的状态栏可以看到这附近有不少dll被加载了。
500)this.width=500" title="点击这里用新窗口浏览图片" />
有4处检查,决定是否特殊处理。在用GetProcAddress得到API的地址后,开始检查。是否为特殊的API?
500)this.width=500" title="点击这里用新窗口浏览图片" />
上一页12 3 下一页 阅读全文
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
本文实例讲述了Python企业编码生成系统之主程序模块。分享给大家供大家参考,具体如下:一点睛主程序模块包括三部分:1主程序初始化2主程序界面3主程序逻辑下面分
。一、有效的3C认证证书需要包括以下基本信息。。1.3C认证标识。。2.证书认证号码:证书号码需要填写商品发布页面的3C号码,如果产品链接有多个型号对应不同认证
主程序有结束标志,如END,FEND等。子程序有特定的开始指令和结束指令。主程序中可以调用子程序,一般来说主程序在前,子程序都放在主程序后面。 计算机(com
本文实例为大家分享了C++实现景区信息管理系统的具体代码,供大家参考,具体内容如下1.1建立主程序应用菜单选项主程序应用菜单选项包含所实现的所有功能,并且对选项
实例介绍一下C#里List的用法。 主程序代码:staticvoidMain(string[]args) { ClassListlistClass=n