下圖是我的機(jī)器中這個call了API的call的地址. 在API返回處BPX(這個call的下一行).

點(diǎn)擊RUN
現(xiàn)在在錯誤entry 5E9c98上下HARDWARE BPX ON WRITE然后點(diǎn)擊RUN.當(dāng)在那兒寫入時將被斷下.

你可以看到在前面一行保存著錯誤值.后面指出這個錯值從[ebp-394]處來.所以在轉(zhuǎn)儲窗口中選擇GOTO EXPRESSION EBP-394. 那兒你將會看到這個值.下BREKPOINT HARDWARE ON ACCESS.

如果我按下運(yùn)行鍵，我將看到無論值是好是壞都在這一行被保存.看附近有一個call BPX它.

你可以看到這是關(guān)鍵call.因?yàn)楫?dāng)它結(jié)束時eax帶著稍后將寫入的值. 我測試了這個call里的每一個跳轉(zhuǎn)(只有5到6個,通常都是這樣):
00DF4B68 /75 03 JNZ SHORT 00DF4B6D
00DF4B79 /75 07 JNZ SHORT 00DF4B82
00DF4B8D /74 0C JE SHORT 00DF4B9B
00DF4B92 /74 1B JE SHORT 00DF4BAF
00DF4B99 ^75 F4 JNZ SHORT 00DF4B8F
勝利者是DF4B8D處的跳轉(zhuǎn). 正如我先前所說的在所有的armadillos里都是一樣的,所以當(dāng)我們在脫其它armadillo時,通過跟蹤這些代碼我們可以很容易發(fā)現(xiàn)這個好跳轉(zhuǎn).
00DF4B8D /74 0C JE SHORT 00DF4B9B
它必須永遠(yuǎn)跳轉(zhuǎn),所以我們做如圖修改:

清除BPX點(diǎn)擊run. (記住清除hardware bpx). 當(dāng)程序走到我們修改為死循環(huán)的指令那兒時輸入表已經(jīng)修復(fù)了,再也沒有壞值了. 然后它在子進(jìn)程的OEP處停下.在紙上寫下magic jump的值(EB 0C),記住.
我們將要重復(fù)那些步驟.當(dāng)我們走到上次我們unhook 子進(jìn)程那一步時,我們將要在magic jump處設(shè)置一個 infinite loop代替在API上設(shè)置.

在那兒從父進(jìn)程處unhook子進(jìn)程,然后它將在magic jump處死循環(huán).
附加子進(jìn)程,按 RUN, 然后停止(F12). 它將停在magic jump.

現(xiàn)在還沒有任何改變,因?yàn)閙agic jump還沒起作用.把它改回先前的值(EB 0C).

如果我們運(yùn)行程序,它將停在OEP,而且輸入表也很完美和完整.現(xiàn)在我們可以利用這個進(jìn)程用Import Reconstructor去修復(fù)在第一部分中轉(zhuǎn)儲的程序了.

所有的值都是好的.最后那幾個是指向dll的.

那些值指向Exxxxx,如果我們看看VIEW-MEMORY我們可以得知那是dll.

現(xiàn)在我們要用一下Import Reconstructor.
打開Import Reconstructor在"Attach to an Active Process"對話框選擇這個進(jìn)程.

裝載這些dll需要很長一段時間.當(dāng)完成后寫下OEP的值,表的起始地址值和表的長度,不要按IAT AutoSearch.

如圖在IMPORT RECONSTRUCTOR中那些值是這樣計(jì)算的:你在紙上寫下的值-Image Base. 比如: OEP=534E90, Image Base=400000, 534E90- 400000= 134E90. RVA也一樣 (表的起始地址值).
現(xiàn)在按GET IMPORTS. 所有的entries都修復(fù)了.

最新評論