WEB开发网
开发学院网络安全黑客技术 tElock v0.99 EGOiSTE/TMG shuffled 阅读

tElock v0.99 EGOiSTE/TMG shuffled

 2007-01-13 20:14:33 来源:WEB开发网   
核心提示: .0042E0C5: 8B442404 mov eax,[esp][04].0042E0C9: 8B4C240C mov ecx,[esp][0C].0042E0CD: FF81B8000000 inc d,[ecx][000000B8].0042E0D3: 8B00 mov eax,[e
.0042E0C5: 8B442404           mov     eax,[esp][04]
.0042E0C9: 8B4C240C           mov     ecx,[esp][0C]
.0042E0CD: FF81B8000000         inc     d,[ecx][000000B8]
.0042E0D3: 8B00             mov     eax,[eax]
.0042E0D5: 3D940000C0          cmp     eax,0C0000094 ;"└ ?"
.0042E0DA: 7524             jne    .00042E100 -----↓ (1)
.0042E0DC: FF81B8000000         inc     d,[ecx][000000B8]
.0042E0E2: 33C0             xor     eax,eax
.0042E0E4: 214104            and     [ecx][04],eax
.0042E0E7: 214108            and     [ecx][08],eax
.0042E0EA: 21410C            and     [ecx][0C],eax
.0042E0ED: 214110            and     [ecx][10],eax
.0042E0F0: 816114F00FFFFF        and     d,[ecx][14],0FFFF0FF0 ;"???
.0042E0F7: 81611800DC0000        and     d,[ecx][18],00000DC00 ;" ▄
.0042E0FE: EB60             jmps    .00042E160 -----↓ (2)
.0042E100: 3D04000080          cmp     eax,080000004 ;"? ?"
.0042E105: 740C             je     .00042E113 -----↓ (3)
.0042E107: 3D03000080          cmp     eax,080000003 ;"? ?"
.0042E10C: 7412             je     .00042E120 -----↓ (4)
.0042E10E: 6A01             push    001
.0042E110: 58              pop     eax
.0042E111: EB4D             jmps    .00042E160 -----↓ (5)

所以停在int3后,把bpm都禁掉,然后bpx 42E091,F5,停在42E091后禁掉所有bpx的断点(后面会有CRC校验),然后下bpm 12ffa4(在程序入口处跟完那个pushad后记下的esp值,如果壳会恢复堆栈的话就可以这样做,但新版aspr不会),F5,ok了,现在停下来的地方就是oep的前一条跳转指令jmp [esp-30]

.0042F7B1: FF6424D0           jmp     d,[esp][-30]

在这里把程序dump下来,修改oep,修复imp表,脱壳即告完成。

这里面用到了很多anti技术和内存/文件校验,如果想提高技术的话,最好自己慢慢跟到入口,可能会比较麻烦,小心那些pushf。

上一页  1 2 

Tags:tElock EGOiSTE TMG

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接