摘要:
1.查壳2.LoradPE工具检查一方面可以用LoradPE工具查看重定位,另一方面也可获取一些详细信息3.查找OEP①未发现pushad开始未发现pushad,进行单步步入,很快就能找到pushad②使用ESP定律这里要注意如果是有守护进程的话,需要使用【Crtl+G】,在输入框中输入“CreateMutexA”,点击“OK”,解除双进程守护。我们在函数末尾的Retn 0xC处下断点,因为壳会判... 阅读全文
摘要:
1.查壳2.找到OEP对第二个Call使用ESP定律,再跳转后的位置进入第一个Call,这里就是OEP了,在这里直接dump的话会失败,那是因为MoleBox壳对IAT进行二次跳转,我们先在OEP位置设置软件断点;3.手动修复IAT我们数据窗口跟随到这个加载系统函数的地址就是IAT;我们看到有部分IAT被隐藏到了其它位置,我们使用硬件写入断点,从新运行此程序,找到写入位置;我们通过硬件写入断点找到... 阅读全文
摘要:
0x01 PEid查壳0x02 分离重定位此步骤主要是为了关闭随机基址;0x03 ESP定律法查找OEP在第二个retn的位置进入;进入jmp跳转中;在这里,我们可以再次使用ESP定律,当然也可以数据窗口跟随图中位置,我们可以看到其在解密IAT,当跑完IAT,释放堆空间后,找到大跳,就是OEP了;进 阅读全文
摘要:
1.查壳使用PEiD未能检测到壳信息,这时,我们更换其他工具从图中可以看到壳的信息为【NsPacK(3.x)[-]】2.百度壳信息北斗程序压缩(Nspack)是一款压缩壳。主要的选项是:压缩资源,忽略重定位节,在压密约偷期前备份程充,强制压缩等3.使用OD打开,查看信息打开程序后,未发现pushad,单步步入追踪,查找pushad,很快就能找的pushad信息4.壳特征定位通过壳特征就能快速定位到... 阅读全文