第一次變化可能會很久才發(fā)生, 但是記住不斷的在OllyDbg運行、在PUPE中點擊BUSCAR,并檢查字節(jié)窗口中的值，直到字節(jié)窗口中的值從零開始變化.

如圖所示,那個值變化了. 現(xiàn)在再重復(fù)幾次,你將會看到:


子進程已經(jīng)完全解出并賦值IAT. 我們必須在那個值第一次變化之后子進程賦值之前進入子進程. 這是個問題,但我耍了一個把戲解決了.
我們將要重復(fù)上述過程.關(guān)閉Parcheando--PUPE的窗口,因為當重啟后進程的句柄會變.
重復(fù)上述過程直到你在PUPE的窗口中觀察到那個值的第一次變化.你應(yīng)該看到類似這樣的東西:


很難找到一種好方法, 所以我決定在某個API上制造一個死循環(huán).就選GetProcAddress吧.所以現(xiàn)在我們要去父進程中找到它.選擇VIEW-EJECUTABLE MODULE 查找KERNEL32.dll 這是GetProcAddress所屬的dll.

右擊VIEW-NAMES查找api GetProcAddress


寫下這個地址(紅箭頭).現(xiàn)在在PUPE中選擇子進程,讓它去找search (BUSCAR)這個地址值. 不同的機器這個值會不同. 我的是77E5B332.在字節(jié)窗口你會看到前兩個字節(jié)是55 8B,所以在紙上寫下,并在PUPE中將其改為EB FE然后按下PARCHEAR

在那兒現(xiàn)在子進程將會處于死循環(huán)中,我們可以說它已經(jīng)睡著了. 我們現(xiàn)在必須把它從它的父進程那兒unhook下來.
在父進程窗口任意處點擊鼠標右鍵,選擇"新建起源"然后寫下下面的代碼
PUSH (son’shandle)
Call DebugActiveProcessStop
Nop (在這兒BPX并檢查是否EAX=1)

在0042F00A 下中斷，然后運行一下停在0042F00A 處?？纯醇拇嫫鞔翱诘腅AX值，如果這個值＝01就表示子進程和父進程分離了。如果＝00那么可能是子進程的句柄填錯了, 你可以在下面重新寫入代碼再次運行，直到EAX＝01時就可以關(guān)閉OllyDbg了（殺掉父進程?。┤缓缶涂梢赃M入子進程了。
重新運行Ollydbg（不要加載程序）附加上子進程.
再次在PUPE中恢復(fù)原來的代碼 55 8B并按 "Parchear" 再看看程序中的代碼又還原成了77E5B332.

程序?qū)袛?就像你在下圖中看到的.

讓我們看一下那個錯誤的entry,右擊轉(zhuǎn)儲dump窗口選擇GOTO EXPRESSION 5E9C34.

Bp GetProcAddress 然后按RUN. 你可以看到當中斷時錯誤的entry已經(jīng)被重寫了,但是表并不完整. 重新打開一個ollydbg載入tute.exe.如果在5e9c8c下面還有一個錯誤的entry就看那兒.

以5E9c98處的錯值為例,因為那兒將會被寫入DF513C.

回到Getright.exe (第一個ollydbg)看一下堆棧. 那兒的API被Df4cB2處的called調(diào)用并將會返回到DF4cB8.
在主窗口中選擇GOTO EXPRESSION 0Df4cb8.

最新評論