Getright 5 手動(dòng)脫殼和重建IAT--第一部分(圖)
互聯(lián)網(wǎng) 發(fā)布時(shí)間:2008-10-08 19:05:36 作者:佚名
我要評(píng)論

這是一篇Armadillo加殼軟件Getright 5.01的脫殼譯文,我是參照Ricardo Narvaja的“Getright 5 脫殼和重建IAT”的文章以及Bighead[DFCG][YCG]的譯文,一邊實(shí)踐一邊再次翻譯的。感謝Ricardo Narvaja和Bighead[DFCG][YCG]。
Armadillo for Dummies: Getright 5 手動(dòng)脫殼
第五步: 運(yùn)行API并在OEP處設(shè)一個(gè)無(wú)限循環(huán)
現(xiàn)在到了執(zhí)行WriteProcessMemory一次了. 我們有兩條路可走,可以選擇執(zhí)行到返回它將會(huì)執(zhí)行直到RET,然后按一次F7. 第二個(gè)選擇是去stack第一行在那兒設(shè)一個(gè)BPX最后運(yùn)行它.
在stack第一行提示程序會(huì)返回到5F94A4, 我們到那兒BPX (F2)然后運(yùn)行它(F9).

現(xiàn)在該用PUPE了. PUPE是一個(gè)西班牙工具.你可以在www.google.com搜索一下. 通過(guò)下面幾行代碼我們將要在son的OEP設(shè)置一個(gè)無(wú)限循環(huán).這會(huì)使son休眠直到我們叫醒它.
這是一張PUPE的圖片.我們可以看到有兩個(gè)進(jìn)程, the son and the father.上面那個(gè)是son. 在右邊我們可以看到進(jìn)程句柄.

選擇上面那個(gè)getright.exe然后右擊選擇"parchear".

寫下出現(xiàn)在對(duì)話框中的original bytes然后用無(wú)限循環(huán)代碼EB FE代替,如下面的對(duì)話框中所示.
最后一步就是"PARCHEAR"然后INFINITE LOOP就準(zhǔn)備好了.

第六步: BP WAITFORDEBUGEVENT 和 NOP THE API
不要清除先前斷點(diǎn)WriteProcessMemory,是時(shí)候?qū)懭胄聰帱c(diǎn)了.鍵入BP WaitForDebugEvent回車, 然后按F9運(yùn)行

它停下時(shí)

你必須記住NEVER EVER RUN THIS API.在轉(zhuǎn)儲(chǔ)窗口"DUMP window"看一下report, 然后去堆棧窗口(STACK window).

正如我們看到的如果我們運(yùn)行這個(gè)API我們應(yīng)該去5F751D,所以讓我們通過(guò)"前往 表達(dá)" 5F751D到主窗口.

再一次提醒不要RUN THIS API.所以右擊5F751D選擇"新建起源".這是跳過(guò)這個(gè)API的方法.

現(xiàn)在我們必須nop the call to the api以及有關(guān)的push.

所以在這些行上按空格鍵然后寫入nop.當(dāng)你完成這項(xiàng)工作時(shí),將會(huì)如下圖所示. 這一步結(jié)束了.

相關(guān)文章
- “CMOS密碼”就是通常所說(shuō)的“開機(jī)密碼”,主要是為了防止別人使用自已的計(jì)算機(jī),設(shè)置的一個(gè)屏障2023-08-01
QQScreenShot之逆向并提取QQ截圖--OCR和其他功能
上一篇文章逆向并提取QQ截圖沒(méi)有提取OCR功能, 再次逆向我發(fā)現(xiàn)是可以本地調(diào)用QQ的OCR的,但翻譯按鈕確實(shí)沒(méi)啥用, 于是Patch了翻譯按鈕事件, 改為了將截圖用百度以圖搜圖搜索.2023-02-04- QQ截圖是我用過(guò)的最好用的截圖工具, 由于基本不在電腦上登QQ了, 于是就想將其提取出獨(dú)立版目前除了屏幕錄制功能其他都逆出來(lái)了, 在此分享一下2023-02-04
非系統(tǒng)分區(qū)使用BitLocker加密導(dǎo)致軟件無(wú)法安裝的解決方法
很多電腦用戶在考慮自己電腦磁盤分區(qū)安全時(shí)會(huì)采用 Windows 自帶的 BitLocker 加密工具對(duì)電腦磁盤分區(qū)進(jìn)行加密。但有些人加密后就會(huì)忘記自己設(shè)置的密碼從而導(dǎo)致在安裝其它軟2020-11-25防止離職員工帶走客戶、防止內(nèi)部員工泄密、避免華為員工泄密事件的發(fā)生
這篇文章為大家詳細(xì)介紹了如何才能防止離職員工帶走客戶、防止內(nèi)部員工泄密、避免華為員工泄密事件的發(fā)生,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2017-06-27徹底防止計(jì)算機(jī)泄密、重要涉密人員離職泄密、涉密人員離崗離職前防范舉
近些年企業(yè)商業(yè)機(jī)密泄漏的事件屢有發(fā)生,這篇文章主要教大家如何徹底防止計(jì)算機(jī)泄密、重要涉密人員離職泄密、告訴大家涉密人員離崗離職前的防范舉措,具有一定的參考價(jià)值,2017-06-27量子計(jì)算機(jī)輕松破解加密算法 如何破解加密算法?
最近有電腦用戶反應(yīng)量子計(jì)算機(jī)可以破解下載的所有的加密算法嗎?其實(shí)也不是不可以,下面虛擬就為大家講解買臺(tái)量子計(jì)算機(jī),如何分分鐘破解加密算法2016-09-26怎么破解Webshell密碼 Burpsuite破解Webshell密碼圖文教程
webshell是以asp、php、jsp或者cgi等網(wǎng)頁(yè)文件形式存在的一種命令執(zhí)行環(huán)境,一種網(wǎng)頁(yè)后門。黑客通常會(huì)通過(guò)它控制別人網(wǎng)絡(luò)服務(wù)器,那么怎么破解webshell密碼呢?一起來(lái)看看吧2016-09-19針對(duì)Linux系統(tǒng)全盤加密的啟動(dòng)攻擊
本文討論了針對(duì)Linux系統(tǒng)全盤加密的冷啟動(dòng)攻擊,大家都認(rèn)為這種攻擊是可行的,但執(zhí)行這么一次攻擊有多難?攻擊的可行性有多少呢?需要的朋友可以參考下2015-12-28防止泄露公司機(jī)密、企業(yè)數(shù)據(jù)防泄密軟件排名、電腦文件加密軟件排行
面對(duì)日漸嚴(yán)重的內(nèi)部泄密事件,我們?nèi)绾问刈o(hù)企業(yè)的核心信息,如何防止內(nèi)部泄密也就成了擺在各個(gè)企業(yè)領(lǐng)導(dǎo)面前的一大問(wèn)題。其實(shí),針對(duì)內(nèi)網(wǎng)安全,防止內(nèi)部信息泄漏早已有了比較2015-12-17