通达信主程序脱壳全记录(图文)第一集完整版_第1页
通达信主程序脱壳全记录(图文)第一集完整版_第2页
通达信主程序脱壳全记录(图文)第一集完整版_第3页
通达信主程序脱壳全记录(图文)第一集完整版_第4页
通达信主程序脱壳全记录(图文)第一集完整版_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、通达信主程序脱壳全记录图文UPX 加壳入口第一句是PUSHAD;出口关键字POPAD;手动脱壳时,用Olldbg载入程序,脱壳程序里面会有好多循环。对付循环时,只能让程序往前运行,根本不能让它往回跳,要想法跳出循环圈。第一步,先侦壳,侦壳工具为peid0.92,侦测结果如下:图000图000原来是UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus & Laszlo加的壳,UPX是一种压缩壳,强度很低。第二步,我们请出调试利器:Ollydbg1.09,载入程序,出现提示:找到 PUSHAD 压栈 标志点图001点击右键菜单,选择“编辑注释“UPX1 壳入口点图002

2、 003用F8进行单步跟踪,对付循环时,只能让程序往前运行,根本不能让它往回跳,要想法跳出循环圈那就是设置“断点。见上图图004 005 006 007在“00986839”处有一个往回的跳转,那么就要在其下面的“0098683B处设置“断点“运行到选定位置 F4”,然后继续F8往下走;碰到往下的跳转,那么随它往下走;碰到没有实现的跳转,也不用理睬,继续F8往下走。后面碰到类似的情况,处理方法一样。一直往下找,直到发现“POPAD时,在其地址处设置“断点“运行到选定位置 F4”,然后继续F8往下走。图008 009特别注意:在据“POPAD的地址约1020个地址时,要停下来,仔细观测,看有没有

3、“CALL语句,否那么有可能跑飞掉,找不到刚刚所跟踪的这些地址。最好的方法是,发现“POPAD后,直接在该语句处设置断点,接着往下走。在走几行,就会出现上图画面,“00622838A 55 DB55 CHARU 这是通达信主程序代码的真正入口,也就是我们要找的“OEP地址。图010 011点击右键调出菜单,选择“用OllyDump脱壳调试进程。图012图013出现上图画面,记住“修正为:22838A,点击“脱壳进行存盘。图013 014下列图为重新载入已脱壳的新文件图015用“PEID检测,提示已无壳。图016,但该文件还不能正常启动,因为“输入表尚未修复。第三步,就是修复程序的输入表。使用importREC,这是最好用的输入表修复工具。1、运行加壳的原版TDX主程序,启动importREC程序,图018在“附加一个活动进程中选择“D:通达信分析家l论坛版本。图0182、在“所需的IAT信息中的“OEP填入“0022838A,点击“自动搜索按钮,出现下列图提示:图0193、点击“获取输入表按钮:图0204、点击“修复转存文件按钮,选择前面已完成脱壳的新文件,程序会自动生成一个新的“*_。EXE的执行文件:图021 0225、再用“PEID检测,提示已无壳

人人文库> 全部分类> 教育资料 > 作文作品

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论