ZProtect 1.4.9脱壳过程的一次分享
查壳, ZPotect 1.4.9 拉进OD,F7单步,到push ad ESP定律下断,断下后单步几次,来到OEP 记住OEP的地址4011A0 然后Ctrl+B,查找FF 15 或者FF 25,查找到一个CALL 回车进入CALL,长这样 跟随第二行的jmp,到达后再回车进jmp 到达后长这样 回车跟进这个CALL 找到ExitProcss下面的call,复制出来,记住CALL []内的地址 0x32652C 然后Shift+*,回到EIP的位置,用ImportREC附加进程,查找IAT表,记下IAT的Start和End地址 现在一共四个地址 OEP 0x4011A0 CALL [0x32652C] IAT Start 408000
IAT End 4080E4 脚本代码: Code
在OEP往下拉,找到一片空白位置,写脚本 二进制粘贴 粘贴好有时候第一行代码会变成 Code
选中按下Ctrl+↑即可 粘贴后代码 Code
如何修改CALL [ ]地址 Code
比如40B9C6处为 CALL [0X21652C],而前面跟随CALL获取到的为CALL [0x32652C] 只有前2位不同,所以只需将 [0X21652C]中的21改为32 然后将后面注释为“修改前几位”的数据,都将21修改为32,后面的数据不变 修改后为 Code
修改完成后,在脚本第一行新建EIP,取消ESP硬断 在OEP处下断点,然后F9运行,断在OEP DUMP,ImportREC修复转储 更多相关文章阅读: |
版权保护: 本文由蓝域安全网所发布,转载请保留本文链接: http://www.yemogege.cn/nxxg-jswz/542.html