ZProtect的脱壳与修复
首先查壳

运行一下程序

有注册框,那么我们必须跳过这个对话框才能到达程序真正的入口点
od进入,F7进call,再F7见到熟悉的pushad

jmp处转到对话框API:DialogBoxIndirectParamA,下断
返回pushad处,FPU窗口中ESP 定律,后运行
返回到处跟随,跳转到弹出界面的指令

je处下硬件断点,标志位Z改1,运行,到如下call
F7跟进,到如下,右键分析,删除模块分析

到达阵真正的入口点
od中在push处右键od调试进程,DDA1C即为OEP地址

接下来用LordPE进行脱壳,输入OEP地址。自动查找IAT,获取输入表,可以看到都是无效函数,无法进行转储

接下来用ImportREC进行修复
对照LordPE进行填写,Process ID在LordPE的标题
Code Start和Code End要加上LordPE开头和结尾的函数序列号基址上加40000

Patch VA :OEP中第一个call,F7到下图,retn的地址即为Patch VA

Zero VA:跟进上图中的call,Zero VA为Resume Thread的下一行地址

填写完后,start出一个新地址,这是od为我们申请了一块新的内存

od转新地址,记得加0,右键,设此处为新的EIP并删除硬件断点
xor处下断点

运行

解码成功
此时我们再次获取输入表
都是有效函数,我们进行转储,最后查壳一下

脱壳成功

ZProtect的脱壳与修复相关推荐

  1. 一个病毒的脱壳及修复

    这是一个最近比较流行的使用.net加壳的病毒脱去.net壳后的一个中间体.脱壳和修复 过程不是很复杂,但还是需要一些小技巧. 未脱壳的代码如下图所示: 401535前面都是壳代码,从call eax进 ...

  2. 12306之梆梆加固libsecexe.so的脱壳及修复

    这篇文章纯粹属于安全分析研究,请勿用于非法用途.如有侵犯到厂家,请告知作者删除 12306使用提梆梆企业VIP版本的加固,跟其它梆梆加固一样,都会用到libsecexe.so来做dex的加载,本文对此 ...

  3. Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT

    题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ...

  4. PE格式:手工实现各种脱壳后的修复

    手工修复导入表结构 实现手工修复导入表结构 1.首先需要找到加壳后程序的导入表以及导入了那些函数,使用PETools工具解析导入表结构,如下. 2.发现目录FOA地址为0x00000800的位置,长度 ...

  5. 手工实现各种脱壳后的修复

    手工修复导入表结构 实现手工修复导入表结构 1.首先需要找到加壳后程序的导入表以及导入了那些函数,使用PETools工具解析导入表结构,如下. 2.发现目录FOA地址为0x00000800的位置,长度 ...

  6. android elf 加固_Android so加固的简单脱壳

    Android应用的so库文件的加固一直存在,也比较常见,特地花时间整理了一下Android so库文件加固方面的知识.本篇文章主要是对看雪论坛<简单的so脱壳器>这篇文章的思路和代码的分 ...

  7. 病毒木马查杀实战第015篇:U盘病毒之脱壳研究

    前言 由于我们的最终目标是编写出针对于这次的U盘病毒的专杀工具,而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示,如果真是如此,那么就有必要在此分析出病毒的命名规律等特征,然 ...

  8. 脱壳系列_0_FSG壳_详细版

    1 查看信息 使用ExeInfoPe查看此壳程序 可以看出是很老的FSG壳. 分析: Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了. 在WIN10 ...

  9. 观峰雨个人空间 2010 STOCK ADVICE !

    2-28  002274  OK! 观峰雨个人空间   http://www.chcj.net/space-uid-395328.html 自己动手修改证券软件(六)----大智慧DIY      h ...

最新文章

  1. mxnet DepthwiseConv2D
  2. 计算机专业博士发论文,计算机专业本科、硕士、博士学位论文编写方法浅析
  3. 射灯安装方法图解_射灯更换安装方法图解
  4. Linux Increase The Maximum Number Of Open Files / File Descriptors (FD)
  5. 样本量过少时,如何科学衡量喜好程度?
  6. yii html 添加下拉框,php – Yii2下拉列表:在我的选项中添加像data-food =“…”这样的html标记...
  7. 史上最全java架构师技能图谱(上)
  8. Laravel 学习笔记5.3之 Query Builder 源码解析(下)
  9. html5 天地图,天地图API
  10. 教育大数据采集机制与关键技术研究
  11. Meta标签中 http-equiv属性详解
  12. 无线数据包的破解——跑包
  13. numpy 函数里面的axis参数的含义
  14. 如何用mshtml获得Javascript中function的返回值[mshtml]
  15. Matlab中hold函数使用
  16. 深度学习笔记(6)BatchNorm批量标准化
  17. python利用pyinstaller打包文件
  18. 【欺骗眼睛】可能你不会相信,图中的A色块和B色块是同一个颜色
  19. 汽车之家运维团队倾力打造的配置管理系统AutoCMS
  20. 最全面的tvOS开发资料

热门文章

  1. 瞎折腾篇:联想笔记本外扩GTX1060——刷BIOS
  2. 解决excel导入数据存在公式的问题
  3. 宣传部第二学期第一次培训
  4. GPT转MBR分区格式
  5. 杭州西软加入龙蜥社区,应用软件兼容适配已完成
  6. 聋校计算机教材教法培训Ppt,小学数学教材教法培训.ppt
  7. c++编程关机重启 非常快捷实用
  8. fedora24安装xmind7
  9. 学校计算机教研组会议记录,教研组会议记录3篇精选范文
  10. 滴滴 美洽 架构师 李令辉