脱壳技术,ARM copymem-II 修复IAT(图),ARM 2008年06月23日 星期一 下午 04:09 关于ARM copymem-II 修复IAT出现的问题请教 很多人都用的方法 我们用OD载入加壳程序,忽略所有异常,bp DebugActiveProcess,F9断下。看堆栈窗口: 0012DA9C 005D0BDB /CALL 到 DebugActiveProcess 来自 Uedit32.005D0BD5 0012DAA0 00000584 \ProcessId = 7F4 ―――>子进程句柄 打开另一个OD绑定7F4这个子进程。 然后ALT+F9,还原代码,不然是死循环,还原开头两行二进制: 60 E8 00000000 OK,BP OpenMutexA,F9后中断,不要清除断点,留意一下堆栈: 0012F574 005C25F1 /CALL 到 OpenMutexA 来自 Uedit32.005C25EB 0012F578 001F0001 |Access = 1F0001 0012F57C 00000000 |Inheritable = FALSE 0012F580 0012FBB4 \MutexName = "7F4:AB78A59F5" 注意这里, 0012F584 0012FF04 0012F588 00000000 0012F58C 005E0999 Uedit32.005E0999 0012F590 003D003C 本贴包含图片附件: screen.width-333) this.width=screen.width-333" border=0 pop="点击查看全图">  这是下断bp DebugActiveProcess ,看到进程后,用另一个od附加的子进程界面。已经将ebfe改成60e8. screen.width-333) this.width=screen.width-333" border=0 pop="点击查看全图">  在主进程od中 ,下断BP OpenMutexA后,程序总是处于运行状态,断不下来!这是界面。请看看 screen.width-333) this.width=screen.width-333" border=0 pop="点击查看全图">  |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 23:31 , Processed in 0.142894 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
