脱壳技术,Upx Cryptor壳的去除,Upx 2008年06月23日 星期一 下午 03:30 程序:老王的vfp&exe2.0演示版2002.4.29版 下载地址:http://cfyn.yeah.net 工具:importREC v1.4.2 , fi249, trw2000,bw2000,winhex fi249报告该程序用upx cryptor加密 找入口:BW2000报告为476824-400000=076824 运行trw2000 bpx 476824 运行vfpexe2.exe断下后 suspend 运行importRECua并激活vfpexe2 入口改为76824点IAT AotuSearch,点Get Imports 点右键->选select code section(s)条,将name下的框全选 点Full dump存盘保存 用winhex调入脱壳后的文件,将入口点09e000修改为076824 运行脱壳后的文件......没反应??? 经用trw2000跟踪发现在47248e处有一陷阱 47248e CMP EAX,[EBP-28] 记下[EBP-28]处的值为01f2fee26,eax=03a8e3d6 用winhex在程序中找4A91F201换为B214A803即大功告成 至于演示版700K的限制有两处很好改,自己看着办吧。 改演示版700K限制 找:833D78A9470072 第一处将7E5D改为EB5d 第二处将0F8E93000000改为90E993000000 第二处陷阱:47433a B820A10700 MOV EAX,0007A120 改为: 47433a B8203F0d00 MOV eax,000d3f20 这样改后还须再次修改3f0处的数据 trw2000再次调入程序 G 47248E EAX=03a8e4c3 将3F0处改为C3E4A803 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 23:28 , Processed in 0.142839 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.