ZProtect的脱壳与修复
ZProtect的脱壳与修复
首先查壳
运行一下程序
有注册框,那么我们必须跳过这个对话框才能到达程序真正的入口点
od进入,F7进call,再F7见到熟悉的pushad
jmp处转到对话框API:DialogBoxIndirectParamA,下断
返回pushad处,FPU窗口中ESP 定律,后运行
返回到处跟随,跳转到弹出界面的指令
je处下硬件断点,标志位Z改1,运行,到如下call
F7跟进,到如下,右键分析,删除模块分析
到达阵真正的入口点
od中在push处右键od调试进程,DDA1C即为OEP地址
接下来用LordPE进行脱壳,输入OEP地址。自动查找IAT,获取输入表,可以看到都是无效函数,无法进行转储
接下来用ImportREC进行修复
对照LordPE进行填写,Process ID在LordPE的标题
Code Start和Code End要加上LordPE开头和结尾的函数序列号基址上加40000
Patch VA :OEP中第一个call,F7到下图,retn的地址即为Patch VA
Zero VA:跟进上图中的call,Zero VA为Resume Thread的下一行地址
填写完后,start出一个新地址,这是od为我们申请了一块新的内存
od转新地址,记得加0,右键,设此处为新的EIP并删除硬件断点
xor处下断点
运行
解码成功
此时我们再次获取输入表
都是有效函数,我们进行转储,最后查壳一下
脱壳成功
ZProtect的脱壳与修复相关推荐
- 一个病毒的脱壳及修复
这是一个最近比较流行的使用.net加壳的病毒脱去.net壳后的一个中间体.脱壳和修复 过程不是很复杂,但还是需要一些小技巧. 未脱壳的代码如下图所示: 401535前面都是壳代码,从call eax进 ...
- 12306之梆梆加固libsecexe.so的脱壳及修复
这篇文章纯粹属于安全分析研究,请勿用于非法用途.如有侵犯到厂家,请告知作者删除 12306使用提梆梆企业VIP版本的加固,跟其它梆梆加固一样,都会用到libsecexe.so来做dex的加载,本文对此 ...
- Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ...
- PE格式:手工实现各种脱壳后的修复
手工修复导入表结构 实现手工修复导入表结构 1.首先需要找到加壳后程序的导入表以及导入了那些函数,使用PETools工具解析导入表结构,如下. 2.发现目录FOA地址为0x00000800的位置,长度 ...
- 手工实现各种脱壳后的修复
手工修复导入表结构 实现手工修复导入表结构 1.首先需要找到加壳后程序的导入表以及导入了那些函数,使用PETools工具解析导入表结构,如下. 2.发现目录FOA地址为0x00000800的位置,长度 ...
- android elf 加固_Android so加固的简单脱壳
Android应用的so库文件的加固一直存在,也比较常见,特地花时间整理了一下Android so库文件加固方面的知识.本篇文章主要是对看雪论坛<简单的so脱壳器>这篇文章的思路和代码的分 ...
- 病毒木马查杀实战第015篇:U盘病毒之脱壳研究
前言 由于我们的最终目标是编写出针对于这次的U盘病毒的专杀工具,而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示,如果真是如此,那么就有必要在此分析出病毒的命名规律等特征,然 ...
- 脱壳系列_0_FSG壳_详细版
1 查看信息 使用ExeInfoPe查看此壳程序 可以看出是很老的FSG壳. 分析: Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了. 在WIN10 ...
- 观峰雨个人空间 2010 STOCK ADVICE !
2-28 002274 OK! 观峰雨个人空间 http://www.chcj.net/space-uid-395328.html 自己动手修改证券软件(六)----大智慧DIY h ...
最新文章
- mxnet DepthwiseConv2D
- 计算机专业博士发论文,计算机专业本科、硕士、博士学位论文编写方法浅析
- 射灯安装方法图解_射灯更换安装方法图解
- Linux Increase The Maximum Number Of Open Files / File Descriptors (FD)
- 样本量过少时,如何科学衡量喜好程度?
- yii html 添加下拉框,php – Yii2下拉列表:在我的选项中添加像data-food =“…”这样的html标记...
- 史上最全java架构师技能图谱(上)
- Laravel 学习笔记5.3之 Query Builder 源码解析(下)
- html5 天地图,天地图API
- 教育大数据采集机制与关键技术研究
- Meta标签中 http-equiv属性详解
- 无线数据包的破解——跑包
- numpy 函数里面的axis参数的含义
- 如何用mshtml获得Javascript中function的返回值[mshtml]
- Matlab中hold函数使用
- 深度学习笔记(6)BatchNorm批量标准化
- python利用pyinstaller打包文件
- 【欺骗眼睛】可能你不会相信,图中的A色块和B色块是同一个颜色
- 汽车之家运维团队倾力打造的配置管理系统AutoCMS
- 最全面的tvOS开发资料