WEB开发网
开发学院网络安全黑客技术 telock脱壳总结 阅读

telock脱壳总结

 2007-01-12 20:13:26 来源:WEB开发网   
核心提示: 0187:006ACE7A 89BD9AB04000MOV[EBP+0040B09A],EDI//MOV[EBP+0040B09A],EBX899D9AB040000187:006ACE80 8BBD9AB04000MOVEDI,[EBP+0040B09A]//MOVEDI,[EBP+00
0187:006ACE7A 89BD9AB04000   MOV  [EBP+0040B09A],EDI //MOV  [EBP+0040B09A],EBX
       899D9AB04000
0187:006ACE80 8BBD9AB04000   MOV  EDI,[EBP+0040B09A] //MOV  EDI,[EBP+0040B0A2]
       8BBDA2B04000

这样做完所有的函数都可以认出,但还有一个问题,就是该分段的地址还是被telock写入了东西,这样ImportRECf就无法识别,还好按我的改法认不出来的地方都是该分段的地方。

类似这样

1  001AB24C  KERNEL32.dll  0181  GetFileType
1  001AB250  KERNEL32.dll  00BA  CreateFileA
1  001AB254  KERNEL32.dll  00A1  CloseHandle
0  001AB258  ?  0000  009D01C2
1  001AB25C  USER32.dll  0115  GetKeyboardType
1  001AB260  USER32.dll  01AB  LoadStringA
1  001AB264  USER32.dll  01BA  MessageBoxA
1  001AB268  USER32.dll  0027  CharNextA
0  001AB26C  ?  0000  009E0028
1  001AB270  ADVAPI32.dll  00F8  RegQueryValueExA
1  001AB274  ADVAPI32.dll  00F0  RegOpenKeyExA
1  001AB278  ADVAPI32.dll  00D9  RegCloseKey

只需手工把它改成如下就可以了,比原来的方法要快些:),具体的动手试试吧。

1  001AB24C  KERNEL32.dll  0181  GetFileType
1  001AB250  KERNEL32.dll  00BA  CreateFileA
1  001AB254  KERNEL32.dll  00A1  CloseHandle
FThunk: 001AB25C  NbFunc: 00000004
1  001AB25C  USER32.dll  0115  GetKeyboardType
1  001AB260  USER32.dll  01AB  LoadStringA
1  001AB264  USER32.dll  01BA  MessageBoxA
1  001AB268  USER32.dll  0027  CharNextA
FThunk: 001AB270  NbFunc: 00000003
1  001AB270  ADVAPI32.dll  00F8  RegQueryValueExA
1  001AB274  ADVAPI32.dll  00F0  RegOpenKeyExA
1  001AB278  ADVAPI32.dll  00D9  RegCloseKey

做完这些后用ImportRECf修复后的程序可以正常运行了。

完活,哪位大哥有其他好方法可用的话,千万记得告诉我呀,谢啦。

另外可以参考hying和fpc大哥关于telock的脱文。

感谢你能够坚持下来hoho:)

telock的壳除了手动找入口比较难外,其它的还是比较简单的。

关于sss的注册:

这是我对付以前用telock加过壳的那个sss的patch,sss任意版都只需改2个字节变成无限制版

#Process Patcher Configuration File
Version=3.93
DisplayName=My Test Program
Filename=sss.exe
Filesize=1043968
Arguments=/quiet
Address=0x58ec5d:0x75:0xeb
#End of Configuration File

再有用这个key强制注册后,就是注册版。

UserName=SSSRussian

DigitalSignature=Vu3xB7ar69mR3Vt6hru4piTtDpPOVALxT+SXLg5nALwNVGDHbzWyEA4UAxQktR2arkd5klsvjHCTQVvO0zz9RU

上一页  1 2 3 

Tags:telock 脱壳 总结

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接