好友
阅读权限10
听众
最后登录1970-1-1
|
首先查壳发现时 execyptor,看来很多相关资料 了解到这个壳会反调试还有stolen code。用OD载入后 先在调用callback段下的断点 然后两次内存访问 断在下面, 应该是VC写的 而且貌似IAT也加密了。 到下面之后如何跟踪进入OPE? 请各位大大 帮忙分析下。 谢谢。
00A3FB8C . 03CA add ecx, edx
00A3FB8E . 5A pop edx
00A3FB8F . 8901 mov dword ptr ds:[ecx], eax
00A3FB91 .^ E9 4AC5FFFF jmp vtemm.00A3C0E0
00A3FB96 $ 55 push ebp
00A3FB97 . 8BEC mov ebp, esp
00A3FB99 . 83C4 F4 add esp, -0C
00A3FB9C . 56 push esi
00A3FB9D . 57 push edi
00A3FB9E . 53 push ebx
00A3FB9F . BE 909F8F00 mov esi, vtemm.008F9F90
00A3FBA4 . B8 00008000 mov eax, vtemm.00800000
00A3FBA9 . 8945 FC mov dword ptr ss:[ebp-4], eax
00A3FBAC . 89C2 mov edx, eax
00A3FBAE > 8B46 0C mov eax, dword ptr ds:[esi+C] ;//break here
00A3FBB1 . 09C0 or eax, eax
00A3FBB3 . 0F84 8C000000 je vtemm.00A3FC45
00A3FBB9 . 01D0 add eax, edx
00A3FBBB . 89C3 mov ebx, eax
00A3FBBD . 50 push eax ; /pModule
00A3FBBE . FF15 B4909700 call near dword ptr ds:[<&kernel32.Ge> ; \GetModuleHandleA
00A3FBC4 . 09C0 or eax, eax
00A3FBC6 . 0F85 0F000000 jnz vtemm.00A3FBDB
00A3FBCC . 53 push ebx ; /FileName
00A3FBCD . FF15 B8909700 call near dword ptr ds:[<&kernel32.Lo> ; \LoadLibraryA
00A3FBD3 . 09C0 or eax, eax
00A3FBD5 > 0F84 62000000 je vtemm.00A3FC3D |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2009-8-4 01:41
