第一次變化可能會(huì)很久才發(fā)生, 但是記住不斷的在OllyDbg運(yùn)行、在PUPE中點(diǎn)擊BUSCAR,并檢查字節(jié)窗口中的值，直到字節(jié)窗口中的值從零開始變化.

如圖所示,那個(gè)值變化了. 現(xiàn)在再重復(fù)幾次,你將會(huì)看到:


子進(jìn)程已經(jīng)完全解出并賦值IAT. 我們必須在那個(gè)值第一次變化之后子進(jìn)程賦值之前進(jìn)入子進(jìn)程. 這是個(gè)問題,但我耍了一個(gè)把戲解決了.
我們將要重復(fù)上述過程.關(guān)閉Parcheando--PUPE的窗口,因?yàn)楫?dāng)重啟后進(jìn)程的句柄會(huì)變.
重復(fù)上述過程直到你在PUPE的窗口中觀察到那個(gè)值的第一次變化.你應(yīng)該看到類似這樣的東西:


很難找到一種好方法, 所以我決定在某個(gè)API上制造一個(gè)死循環(huán).就選GetProcAddress吧.所以現(xiàn)在我們要去父進(jìn)程中找到它.選擇VIEW-EJECUTABLE MODULE 查找KERNEL32.dll 這是GetProcAddress所屬的dll.

右擊VIEW-NAMES查找api GetProcAddress


寫下這個(gè)地址(紅箭頭).現(xiàn)在在PUPE中選擇子進(jìn)程,讓它去找search (BUSCAR)這個(gè)地址值. 不同的機(jī)器這個(gè)值會(huì)不同. 我的是77E5B332.在字節(jié)窗口你會(huì)看到前兩個(gè)字節(jié)是55 8B,所以在紙上寫下,并在PUPE中將其改為EB FE然后按下PARCHEAR

在那兒現(xiàn)在子進(jìn)程將會(huì)處于死循環(huán)中,我們可以說它已經(jīng)睡著了. 我們現(xiàn)在必須把它從它的父進(jìn)程那兒unhook下來.
在父進(jìn)程窗口任意處點(diǎn)擊鼠標(biāo)右鍵,選擇"新建起源"然后寫下下面的代碼
PUSH (son’shandle)
Call DebugActiveProcessStop
Nop (在這兒BPX并檢查是否EAX=1)

在0042F00A 下中斷，然后運(yùn)行一下停在0042F00A 處?？纯醇拇嫫鞔翱诘腅AX值，如果這個(gè)值＝01就表示子進(jìn)程和父進(jìn)程分離了。如果＝00那么可能是子進(jìn)程的句柄填錯(cuò)了, 你可以在下面重新寫入代碼再次運(yùn)行，直到EAX＝01時(shí)就可以關(guān)閉OllyDbg了（殺掉父進(jìn)程！）然后就可以進(jìn)入子進(jìn)程了。
重新運(yùn)行Ollydbg（不要加載程序）附加上子進(jìn)程.
再次在PUPE中恢復(fù)原來的代碼 55 8B并按 "Parchear" 再看看程序中的代碼又還原成了77E5B332.

程序?qū)?huì)中斷,就像你在下圖中看到的.

讓我們看一下那個(gè)錯(cuò)誤的entry,右擊轉(zhuǎn)儲(chǔ)dump窗口選擇GOTO EXPRESSION 5E9C34.

Bp GetProcAddress 然后按RUN. 你可以看到當(dāng)中斷時(shí)錯(cuò)誤的entry已經(jīng)被重寫了,但是表并不完整. 重新打開一個(gè)ollydbg載入tute.exe.如果在5e9c8c下面還有一個(gè)錯(cuò)誤的entry就看那兒.

以5E9c98處的錯(cuò)值為例,因?yàn)槟莾簩?huì)被寫入DF513C.

回到Getright.exe (第一個(gè)ollydbg)看一下堆棧. 那兒的API被Df4cB2處的called調(diào)用并將會(huì)返回到DF4cB8.
在主窗口中選擇GOTO EXPRESSION 0Df4cb8.

最新評(píng)論