WinKawaks 1.45脱壳笔记
2007-01-12 20:11:42 来源:WEB开发网核心提示: 听说是加的2层壳,我不知道加的是哪2层,没有仔细分析过,估计是在73xxxx是一层,然后跳72xxxx又是一层(这一层应该是UPX).第二层肯定是UPX的,按标记应该是UPX1.22最外面的一层嘛!我也不清楚是什么,WinKawaks 1.45脱壳笔记(2),不过他装入导入表如下:0073
听说是加的2层壳,我不知道加的是哪2层,没有仔细分析过,估计是在73xxxx是一层,然后跳72xxxx又是一层(这一层应该是UPX).
第二层肯定是UPX的,按标记应该是UPX1.22
最外面的一层嘛!我也不清楚是什么。不过他装入导入表如下:
0073252C 0BC9 OR ECX,ECX
0073252E 75 03 JNZ SHORT WinKawak.00732533
00732530 8B4E 04 MOV ECX,[DWORD DS:ESI+4]
00732533 038D 8F234000 ADD ECX,[DWORD SS:EBP+40238F]
00732539 8B56 04 MOV EDX,[DWORD DS:ESI+4]
0073253C 0395 8F234000 ADD EDX,[DWORD SS:EBP+40238F]
00732542 E9 C3000000 JMP WinKawak.0073260A
00732547 F701 00000080 TEST [DWORD DS:ECX],80000000
0073254D 75 4B JNZ SHORT WinKawak.0073259A
0073254F 8B01 MOV EAX,[DWORD DS:ECX]
00732551 83C0 02 ADD EAX,2
00732554 0385 8F234000 ADD EAX,[DWORD SS:EBP+40238F]
0073255A 50 PUSH EAX
0073255B E8 8BFFFFFF CALL WinKawak.007324EB
<=========这儿边解码,边进行IAT修改
00732560 58 POP EAX
00732561 8BF8 MOV EDI,EAX ; WinKawak.00731C5A
00732563 52 PUSH EDX
00732564 51 PUSH ECX
00732565 50 PUSH EAX
00732566 53 PUSH EBX
00732567 FF95 1F254000 CALL [DWORD SS:EBP+40251F]
0073256D 0BC0 OR EAX,EAX
0073256F 75 07 JNZ SHORT WinKawak.00732578
00732571 59 POP ECX
0073257A 60 PUSHAD
0073257B F785 97234000 >TEST [DWORD SS:EBP+402397],4
00732585 74 0E JE SHORT WinKawak.00732595
00732587 8D85 46214000 LEA EAX,[DWORD SS:EBP+402146]
0073258D 50 PUSH EAX
0073258E 8BC7 MOV EAX,EDI
00732590 E9 DB010000 JMP WinKawak.00732770
00732595 61 POPAD
00732596 8902 MOV [DWORD DS:EDX],EAX别让他写入,免得IAT被他破坏,先把它的这层皮拔掉
中查找“WinKawaks 1.45脱壳笔记”更多相关内容
中查找“WinKawaks 1.45脱壳笔记”更多相关内容更多精彩
赞助商链接
