脚本之家 服务器常用软件
快捷导航
您的位置:主页 > 网络安全 > 加密解密 >

Getright 5 手动脱壳和重建IAT--第一部分(图)

互联网   发布时间:2008-10-08 19:05:36   作者:佚名   我要评论
这是一篇Armadillo加壳软件Getright 5.01的脱壳译文,我是参照Ricardo Narvaja的“Getright 5 脱壳和重建IAT”的文章以及Bighead[DFCG][YCG]的译文,一边实践一边再次翻译的。感谢Ricardo Narvaja和Bighead[DFCG][YCG]。 Armadillo for Dummies: Getright 5 手动脱壳

第五步: 运行API并在OEP处设一个无限循环
现在到了执行WriteProcessMemory一次了. 我们有两条路可走,可以选择执行到返回它将会执行直到RET,然后按一次F7. 第二个选择是去stack第一行在那儿设一个BPX最后运行它.
在stack第一行提示程序会返回到5F94A4, 我们到那儿BPX (F2)然后运行它(F9).

现在该用PUPE了. PUPE是一个西班牙工具.你可以在www.google.com搜索一下. 通过下面几行代码我们将要在son的OEP设置一个无限循环.这会使son休眠直到我们叫醒它.
这是一张PUPE的图片.我们可以看到有两个进程, the son and the father.上面那个是son. 在右边我们可以看到进程句柄.

选择上面那个getright.exe然后右击选择"parchear".

写下出现在对话框中的original bytes然后用无限循环代码EB FE代替,如下面的对话框中所示.
最后一步就是"PARCHEAR"然后INFINITE LOOP就准备好了.

第六步: BP WAITFORDEBUGEVENT 和 NOP THE API
不要清除先前断点WriteProcessMemory,是时候写入新断点了.键入BP WaitForDebugEvent回车, 然后按F9运行

它停下时

你必须记住NEVER EVER RUN THIS API.在转储窗口"DUMP window"看一下report, 然后去堆栈窗口(STACK window).

正如我们看到的如果我们运行这个API我们应该去5F751D,所以让我们通过"前往 表达" 5F751D到主窗口.

再一次提醒不要RUN THIS API.所以右击5F751D选择"新建起源".这是跳过这个API的方法.

现在我们必须nop the call to the api以及有关的push.

所以在这些行上按空格键然后写入nop.当你完成这项工作时,将会如下图所示. 这一步结束了.


上一页 1 2 34 5 下一页 阅读全文

相关文章

最新评论

关注微信公众号

扫一扫