NT下的tELock 0.90手动脱壳
2007-01-12 20:13:24 来源:WEB开发网核心提示:1、找OEP:仍然是BPX VirtualProtectEx,中断下来后再手动跳过几个SEH就和旧版本的一样,NT下的tELock 0.90手动脱壳,直接到达OEP,参看精华区中关于旧版本的脱壳文章,所以不要设BPM断点2、设BPX断点时最好不要把断点设在API函数的第一条指令上,比如“BPX Virtua
1、找OEP:
仍然是BPX VirtualProtectEx,中断下来后再手动跳过几个SEH就和旧版本的一样,直接到达OEP。参看精华区中关于旧版本的脱壳文章。
2、从内存中dump IT:
先找准IT的起始位置,一般就是.idata段的起始处。找IT的其它方法参看精华区。假定找到的位置为XXXXXXXX,然后“bpx VirtualAlloc do "dd XXXXXXXX",每次中断后注意看数据区中的内容,看看telock什么时候把解压出来的完整的IT表放在那个位置。一旦发现IT/IAT已经完整解压出来,小心地在它破坏IT之前将其dump出来即可。那段破坏代码和旧版本的一样,很容易找到。
之后的修复就不用说了。
注意:
1、telock用调试器寄存器来做CRC检查,所以不要设BPM断点
2、设BPX断点时最好不要把断点设在API函数的第一条指令上,比如“BPX VirtualProtectEx”可以设为“BPX VirtualProtectEx+1”等,因为telock会检查某些API函数入口处有无0xCC(int 3)。
- ››手动插入自增列
- ››手动修复iPhone距离感应功能
- ››手动关闭一个Symbian GPRS连接
- ››手动更改CentOS系统为静态IP
- ››NTFS 分区表修复新法(AcronisDiskDirector10)
- ››手动优化 Windows 7系统服务清理方案
- ››ntop 3.4 pre3 发布
- ››NT5.X/NT6.0双启动的故障解决
- ››NteBeans下JSP连接MySQL示例
- ››NT6 HDD Installer全攻略:如何硬盘安装Windows 7...
- ››NTFS硬盘完美启动 - 让Windows 7支持BackTrack3(B...
- ››NTT全面部署百会Zoho在线办公应用
更多精彩
赞助商链接