WEB开发网
开发学院网络安全黑客技术 如何用TRW2000脱壳 阅读

如何用TRW2000脱壳

 2006-07-03 20:26:40 来源:WEB开发网   
核心提示:下面整理一些東西讓你了解TRW2000如何脫殼,下面一程序是一壓縮后的軟件,如何用TRW2000脱壳,脫這類殼,關鍵是找到入口點,然后用此方法脫殼一下,,具體例子如下:運行TRW,選擇菜單中的TRNEWTCB命令

下面整理一些東西讓你了解TRW2000如何脫殼,下面一程序是一壓縮后的軟件,脫這類殼,關鍵是找到入口點。具體例子如下:

運行TRW,選擇菜單中的TRNEWTCB命令,或用菜單的load,然后運行加脫的程序,程序馬上中斷于第一句了。

具體如下:

0137:0043D100 PUSHAD 程序會中斷于這里
0137:0043D101 MOV ESI,0042B0D9
0137:0043D106 LEA EDI,[ESI+FFFD5F27]
0137:0043D10C PUSH EDI
0137:0043D10D OR EBP,-01
0137:0043D110 JMP 0043D122 跳到解壓程序
0137:0043D112 NOP
0137:0043D113 NOP

解壓程序的入口:

0137:0043D122 8B1E MOV EBX,[ESI]
0137:0043D124 83EEFC SUB ESI,-04
0137:0043D127 11DB ADC EBX,EBX
0137:0043D129 72ED JB 0043D118
0137:0043D12B B801000000 MOV EAX,00000001
0137:0043D130 01DB ADD EBX,EBX
0137:0043D132 7507 JNZ 0043D13B
0137:0043D134 8B1E MOV EBX,[ESI]

好了在解壓程序里面,程序會做無數次的循環,我沒有必要了解它是如何進行加壓的,所以就把光標一直向下走,一直走到這里:

0137:0043D250 EBD6 JMP 0043D228
0137:0043D252 61 POPAD
0137:0043D253 C3 RET
0137:0043D254 61 POPAD
0137:0043D255 E9D6A1FDFF JMP 00417430 這就是程序的真正入口了
0137:0043D25A 0000 ADD [EAX],AL
0137:0043D25C 0000 ADD [EAX],AL
0137:0043D25E 0000 ADD [EAX],AL

終于找到了入口地址,那麼現在就可以用TRW的pedump+文件名 命令直接脫殼了,然后回到windows下,到破解目錄找下你剛脫的文件。craker們你找一壓縮軟件如:ASPACK,UPX等,壓縮一軟件,然后用此方法脫殼一下。。。

Tags:如何 TRW 脱壳

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接