WEB开发网
开发学院网络安全黑客技术 IAT的加密的手动查找 阅读

IAT的加密的手动查找

 2009-06-05 16:55:22 来源:WEB开发网   
核心提示: 0101573ECCint3 0101573FCCint3 F7进入后: -- 0100739D6A 70push 70 0100739F68 98180001push UnpackMe.01001898 010073A4E8 BF010000call UnpackMe.01007568

0101573E    CC                int3

0101573F    CC                int3

F7进入后:

------------------------------------------------------------------

0100739D    6A 70              push 70

0100739F    68 98180001        push UnpackMe.01001898

010073A4    E8 BF010000        call UnpackMe.01007568

010073A9    33DB              xor ebx,ebx

010073AB    53                push ebx

010073AC    8B3D CC100001      mov edi,dword ptr ds:[10010CC]                    ; UnpackMe.01022254

010073B2    FFD7              call edi

010073B4    66:8138 4D5A      cmp word ptr ds:[eax],5A4D

010073B9    75 1F              jnz short UnpackMe.010073DA

先不急着DUMP出来,我们用ImportREC修复一下看看IAT,如下图:

IAT的加密的手动查找

有许多无效的指针,等级一修复后,依然有几个,看来有IAT加密了,记录下几个无效的地址以及找到的OEP地址:

010010B0  01021D46  UnpackMe.01021D46

010010B4  010227BB  UnpackMe.010227BB

OEP: 0100739D======739D  

重新载入程序后,我们在010010B0上下“断点--硬件访问断点--DWORD”,如下图:

上一页  2 3 4 5 6 7 8 9 10  下一页

Tags:IAT 加密 手动

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接