WEB开发网
开发学院网络安全黑客技术 WinKawaks 1.45脱壳笔记 阅读

WinKawaks 1.45脱壳笔记

 2007-01-12 20:11:42 来源:WEB开发网   
核心提示: 听说是加的2层壳,我不知道加的是哪2层,没有仔细分析过,估计是在73xxxx是一层,然后跳72xxxx又是一层(这一层应该是UPX).第二层肯定是UPX的,按标记应该是UPX1.22最外面的一层嘛!我也不清楚是什么,WinKawaks 1.45脱壳笔记(2),不过他装入导入表如下:0073

听说是加的2层壳,我不知道加的是哪2层,没有仔细分析过,估计是在73xxxx是一层,然后跳72xxxx又是一层(这一层应该是UPX).

第二层肯定是UPX的,按标记应该是UPX1.22

最外面的一层嘛!我也不清楚是什么。不过他装入导入表如下:

0073252C 0BC9 OR ECX,ECX
0073252E 75 03 JNZ SHORT WinKawak.00732533
00732530 8B4E 04 MOV ECX,[DWORD DS:ESI+4]
00732533 038D 8F234000 ADD ECX,[DWORD SS:EBP+40238F]
00732539 8B56 04 MOV EDX,[DWORD DS:ESI+4]
0073253C 0395 8F234000 ADD EDX,[DWORD SS:EBP+40238F]
00732542 E9 C3000000 JMP WinKawak.0073260A
00732547 F701 00000080 TEST [DWORD DS:ECX],80000000
0073254D 75 4B JNZ SHORT WinKawak.0073259A
0073254F 8B01 MOV EAX,[DWORD DS:ECX]
00732551 83C0 02 ADD EAX,2
00732554 0385 8F234000 ADD EAX,[DWORD SS:EBP+40238F]
0073255A 50 PUSH EAX
0073255B E8 8BFFFFFF CALL WinKawak.007324EB
<=========这儿边解码,边进行IAT修改
00732560 58 POP EAX
00732561 8BF8 MOV EDI,EAX ; WinKawak.00731C5A
00732563 52 PUSH EDX
00732564 51 PUSH ECX
00732565 50 PUSH EAX
00732566 53 PUSH EBX
00732567 FF95 1F254000 CALL [DWORD SS:EBP+40251F]
0073256D 0BC0 OR EAX,EAX
0073256F 75 07 JNZ SHORT WinKawak.00732578
00732571 59 POP ECX
0073257A 60 PUSHAD
0073257B F785 97234000 >TEST [DWORD SS:EBP+402397],4
00732585 74 0E JE SHORT WinKawak.00732595
00732587 8D85 46214000 LEA EAX,[DWORD SS:EBP+402146]
0073258D 50 PUSH EAX
0073258E 8BC7 MOV EAX,EDI
00732590 E9 DB010000 JMP WinKawak.00732770
00732595 61 POPAD
00732596 8902 MOV [DWORD DS:EDX],EAX

别让他写入,免得IAT被他破坏,先把它的这层皮拔掉

Tags:WinKawaks 脱壳 笔记

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接