WEB开发网
开发学院网络安全黑客技术 一点脱壳经验 阅读

一点脱壳经验

 2006-07-03 20:26:35 来源:WEB开发网   
核心提示: 第二步,用bw2k确定程序的真正入口点OEP,一点脱壳经验(3),运行bw2k,面板上的entry point显示为00000000,ImpRECT 会在该文件所在目录生成一个新的文件:test_.exe ,这就是修复后的文件,至此终于大功告成,按track钮,再运行s-spline.ex

第二步,用bw2k确定程序的真正入口点OEP,

运行bw2k,面板上的entry point显示为00000000。按track钮,再运行s-spline.exe,程序界面出来之后,bw2k的面板上entry point显示为7e910,这就是入口点了。退出s-spline,我们又迈出了可喜的第二步。

第三步,运行SuperBPM,选中erase(默认为不选中),确保trw能够中断。

第四步,运行trw2k,按browse找到并选中s-spline.exe,按loader装入。下bpx 47e910,g。trw弹出时输入pedump c:\test\test.exe,退出trw(不退也行),但不要退出s-spline。在c:\test下会找到test.exe。这个程序目前还不能运行,因为它的import表是被加密的。

第五步,用peditor修正test.exe。运行peditor,按browse找到test.exe,确定。再按sections,弹出一个窗口,显示每个section的信息。在窗口中点右键,在弹出菜单中选dumpfixer(RS=VS & RO=VO),提示'DONE',这时可以关闭peditor了。

第六步,运行ImportREC1.2beta2,在Attach to an Active Process下拉框中选中s-spline.exe,然后在左下方OEP中输入7e910(就是EP-image base=47e910-400000),按IAT AutoSearch。出现对话框Found Something!=》

“Found address which may be in the Original IAT.Try 'Get Import'”

按Get Import,再按Show Invalids 按钮,在Imported Function Found框中会有很多蓝色的项目。在其中点右键,选Trace Level1(Disasm),再按Show Invalids 按钮,可以看到所有的dll都为valid:YES字样。输入表到此完成。

第七步,修复已脱壳的程序test.exe。选择Add new section(缺省是选上的),按Fix Dump,并选择刚才Dump出来的文件test.exe。ImpRECT 会在该文件所在目录生成一个新的文件:test_.exe ,这就是修复后的文件。至此终于大功告成,点击test_.exe可以运行了。

上一页  1 2 3 4  下一页

Tags:一点 脱壳 经验

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接