WEB开发网
开发学院网络安全黑客技术 Armadillo标准加壳的程序的脱壳和引入表修复方案 阅读

Armadillo标准加壳的程序的脱壳和引入表修复方案

 2007-01-13 20:14:38 来源:WEB开发网   
核心提示: 现在重新载入程序,到出现这个信息的前一次中断停下来,然后按几次CTRL+F9到程序中(也就是地址较低的地方,一般都是004*,005*,本程序在这:004DA06083C4 04ADDESP, 4004DA0638945 FCMOVDWORD PTR SS:[EBP-4], EAX004D

现在重新载入程序,到出现这个信息的前一次中断停下来,然后按几次CTRL+F9到程序中(也就是地址较低的地方,一般都是004*****,005*****,本程序在这: 

004DA060  83C4 04    ADD  ESP, 4 
004DA063  8945 FC    MOV  DWORD PTR SS:[EBP-4], EAX 
004DA066  837D B8 00   CMP  DWORD PTR SS:[EBP-48], 0 
004DA06A  74 0A     JE   SHORT SoundEdi.004DA076 
004DA06C  8B45 B8    MOV  EAX, DWORD PTR SS:[EBP-48] 
004DA06F  50       PUSH  EAX 
004DA070  FF15 E8615000 CALL  DWORD PTR DS:[<&USER32.DestroyWi>; USER32.DestroyWindow 
004DA076  8B45 FC    MOV  EAX, DWORD PTR SS:[EBP-4] 
004DA079  8BE5      MOV  ESP, EBP 
004DA07B  5D       POP  EBP 
004DA07C  C3       RETN

这时小心地用F8,因为有一堆的JMP,JNZ,JO等,不过也用不了多久的,大概20多次就可来到这: 

004DB483  61       POPAD 
004DB484  6A 00     PUSH  0 
004DB486  E8 6E000000  CALL  SoundEdi.004DB4F9 
004DB48B  83C4 04    ADD  ESP, 4 
004DB48E  6A 00     PUSH  0 
004DB490  E8 46830000  CALL  SoundEdi.004E37DB 
004DB495  83C4 04    ADD  ESP, 4 
004DB498  837D E4 01   CMP  DWORD PTR SS:[EBP-1C], 1 
004DB49C  75 11     JNZ  SHORT SoundEdi.004DB4AF 
004DB49E  68 E8965000  PUSH  SoundEdi.005096E8 
004DB4A3  FF15 0C975000 CALL  DWORD PTR DS:[50970C]  ,这个CALL用F7跟进 
004DB4A9  83C4 04    ADD  ESP, 4 
004DB4AC  8945 E4    MOV  DWORD PTR SS:[EBP-1C], EAX 
004DB4AF  68 0C9E4D00  PUSH  SoundEdi.004D9E0C

在4db4a3这个CALL用f7跟进,然后继续F8,几次后就来到这: 

上一页  1 2 3 4 5  下一页

Tags:Armadillo 标准 加壳

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接