|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
Thebat!139脱壳详情及对Asprotect加壳保护的一点小结
|
日期:2007年6月2日 作者: 查看:[大字体
中字体 小字体]
|
Thebat!139脱壳详情及对Asprotect加壳保护的一点小结,小弟本想脱thebat141的壳的,但小弟下载的thebat141却没有加壳,没办法,还是拿thebat139开刀了。
如果小弟下面的内容有错漏的地方,请给小弟指正。
小弟的脱壳方法和冰毒的不同,他的方法我用不了,我用Procdump32脱不了thebat的壳。
废话少说,let's go!
所用工具:soft-ice405、icedump6015、procdump1.6.2、ultraedit5.0。
首先加载softice,再加载icedump。运行procdump32,点击PE Editor,选择thebat.exe
文件,我们要记一下数据了:size of image:00314000 image base:00400000,
点击sections,记下.idata的数据:virtual siza:00003000 virtual offset:0022E000 ,这样我们
可以知道.idata在内存中的地址为:0062E000,长度为:3000
启动Symbol Loader,载入thebat.exe(加载过icedump后,softice可以成功拦截thebat),点击一下Load,
马上被拦截,如下:
XXX:006FF001 PUSHAD **第一个PUSHAD指令**
XXX:006FF002 CALL 006FF008 按F8进入
XXX:006FF007 NOP
XXX:006FF008 POP EBP 按F10一直来到:
XXX:006FF0D6 CALL 006FF0DE 按F8进入
在这之后的一段程序要走的小心一点,我建议用F8,如果离开了thebat的就按一下F12,然后再按F8,
一直来到:
XXX:006FFA3B PUSHAD **第二个PUSHAD指令** 改按F10一直来到:
XXX:006FFB6C POPAD **和第二个PUSHAD指令是一对**
XXX:006FFB6D POP EBP
XXX:006FFB6E RET 0008 这个CALL走完了,来到:
XXX:006FF09F MOV ECX,EAX 按F10来到:
XXX:006FF0D6 CALL 006FF0DE 按F8进入,然后一直按F10来到:
XXX:006FFA3B PUSHAD **第三个PUSHAD指令** (难道又回去了?当然不是。)按F10直到:
XXX:006FFB6C POPAD **和第三个PUSHAD指令是一对**
XXX:006FFB6D POP EBP
XXX:006FFB6E RET 0008 走完这个CALL来到:
XXX:006FF1D3 PUSH 04
XXX:006FF1D5 PUSH 00001000 按F10一直到:
XXX:006FF218 CALL 006FF220 按F8进入,之后按F10一直到:
上一篇:非安全编程演示之格式化字符串篇version1.1 下
下一篇:脱Insta3D version 2.0(Vbox420)的壳
|
| 相关文章: |
|
|
|
| 相关软件: |
|
| |
|
