脚本之家 服务器常用软件
快捷导航
您的位置:主页 > 网络安全 > 加密解密 >

Getright 5 手动脱壳和重建IAT--第一部分(图)

互联网   发布时间:2008-10-08 19:05:36   作者:佚名   我要评论
这是一篇Armadillo加壳软件Getright 5.01的脱壳译文,我是参照Ricardo Narvaja的“Getright 5 脱壳和重建IAT”的文章以及Bighead[DFCG][YCG]的译文,一边实践一边再次翻译的。感谢Ricardo Narvaja和Bighead[DFCG][YCG]。 Armadillo for Dummies: Getright 5 手动脱壳


在图示的nop处下断点,然后运行程序.看registers window,如果当程序停止时,EAX=1那意味着son已经从father处脱钩了,我们可以关闭OLLY.如果EAX=0 那么你要检查那几行代码,因为你可能犯了写错误(也许是写错了handle).
现在关闭OLLYDBG,然后再次打开他.不要载入任何东西.前往"文件/附加"然后找son,附加它(我们搞定它的father了:X).
一旦附加成功,程序将在INFINITE LOOP中 RUNNING ,需要按F12 to pause the去暂停程序,但是等一下,在做这个之前,我们先得把 EB FE改回原始值(那些我叫你记下的值,你有记下吗?) 55 8B,然后我们将停在OEP,已经准备好dump了.


我们已经准备好dump了,所以打开LORD PE然后找Getright.exe

选择Getright.exe进程然后选择INTELLIDUMP然后点击DUMP FULL, 保存后启动PEEDITOR (从www.google.com上搜索它)然后写入正确的ENTRY POINT值.
在这儿不要填写538540,而写入文件偏移,就像这样: 538540-400000 = 138540.

那就是full dump.在本参考教程的第二部分我们会学习怎样去找magic jump从而完成import table, 修复IAT,使程序运行,因为它设下了一些陷阱来避免被unpack.
现在我们保存转储(dump)文件(我把它命名为tute.exe),和原始的一样,只是IAT不同.
第二部分再见.
Ricardo Narvaja
翻译(西班牙语翻译为英语)DEGETE和Tenshin,(英语翻译为中文)FTBirthday.自由传播,但是请保留作者的姓名.

上一页 1 2 3 4 5下一页阅读全文

相关文章

最新评论

关注微信公众号

扫一扫