3245129 发表于 2008-2-5 06:19:35

fint2005木马辅助查找器分析之[手脱PECompact 2.x -> Jeremy Collake]

本文出自:[宝宝]

地址:http://hi.baidu.com/hack69

转载请著名出处~谢谢

这段时间比较郁闷.好不容易在朋友那换了个米想到功能还不如冰刃..哎~偶哪肯让这么好的一个软件浮水东流呢?

于是决定对葛军大哥的软件进行下优化修改....嘿嘿

拿出peid查壳发现:




郁闷.又是一牛壳....哎既然要拿od载入发现,也不象想像中的那么难脱~~米到半分钟就把他脱掉了

如图:



嘿嘿...继续研究..有新的发现在拿上来分享


正文:od载入

00401000 f> B8 D0325400   mov eax,fint2005.005432D0
00401005   50            push eax
00401006   64:FF35 0000000>push dword ptr fs:
0040100D   64:8925 0000000>mov dword ptr fs:,esp   -----------esp下断 f8运行 [上]
00401014   33C0            xor eax,eax
00401016   8908            mov dword ptr ds:,ecx
00401018   50            push eax
00401019   45            inc ebp
0040101A   43            inc ebx
0040101B   6F            outs dx,dword ptr es:
0040101C   6D            ins dword ptr es:,dx
0040101D   70 61         jo short fint2005.00401080

-------------------------------------------------------------------------------------------

来到 ---------去除段点-------单步往下走

7C957826   3B45 F8         cmp eax,dword ptr ss:
7C957829   72 09         jb short ntdll.7C957834
7C95782B   3B45 F4         cmp eax,dword ptr ss:
7C95782E   ^ 0F82 F731FFFF   jb ntdll.7C94AA2B
7C957834   50            push eax
7C957835   E8 67000000   call ntdll.7C9578A1
7C95783A   84C0            test al,al
7C95783C   ^ 0F84 E931FFFF   je ntdll.7C94AA2B
7C957842   F605 5AC3997C 8>test byte ptr ds:,80
7C957849   0F85 20720100   jnz ntdll.7C96EA6F                        --------来到这里....我们跟随
7C95784F   FF73 04         push dword ptr ds:
7C957852   8D45 EC         lea eax,dword ptr ss:

------------------------------------------------------------------------------

来到这里

7C96EA6F   6A 10         push 10
7C96EA71   53            push ebx
7C96EA72   6A 00         push 0
7C96EA74   FF75 0C         push dword ptr ss:
7C96EA77   56            push esi
7C96EA78   E8 136B0100   call ntdll.7C985590
7C96EA7D   8945 F0         mov dword ptr ss:,eax
7C96EA80   ^ E9 CA8DFEFF   jmp ntdll.7C95784F
7C96EA85   57            push edi                                       -------------直接来到这里..右建--断点--运行到此处
7C96EA86   FF75 F0         push dword ptr ss:

---------------------------------------------------------------------------------

来到

7C957852   8D45 EC         lea eax,dword ptr ss:
7C957855   50            push eax
7C957856   FF75 0C         push dword ptr ss:
7C957859   53            push ebx
7C95785A   56            push esi
7C95785B   E8 F3BEFCFF   call ntdll.7C923753
7C957860   F605 5AC3997C 8>test byte ptr ds:,80
7C957867   8BF8            mov edi,eax

------------------------------------------------------------------------------------

直接单步往走~直达oep

scgycxzzc 发表于 2008-3-4 16:32:18

谢谢分享/:014 /:014
页: [1]
查看完整版本: fint2005木马辅助查找器分析之[手脱PECompact 2.x -> Jeremy Collake]