Obsidium 脱壳
看到今年5.4的crackme 寻思看看 发现壳竟然各种检测我OD....很是奇怪.遂脱之.简单说下过程.
对资源段下写入.然后对代码段下访问到达OEP
00412AA5 E8 69 4F 00 00 callCrackMe.00417A13
进call找到第一个 FF 15类型的 CALL 定位IAT表
然后去壳端搜索特征55 8B EC 8B 45 0C 85 C0 74 0D 50 FF 75 08 E8 ?? ?? ?? ?? 5D C2 08 00 FF 75 08 E8 ?? ?? ?? ?? 5D C2 08 00 .这个壳写的有点猥琐...地址都是本地运行有效.所以脱壳必须一次性的.下次载入特征地址就变了
从特征部分拿到API的名称.其实这个时候已经可以修复iat了. 当然 你也可以出call 多走几步 eax就会出现地址.
反调试没明白..只知道调试接口挂了.但是还原还是被检测..没明白什么原理.望赐教.
你是竹子大表哥么?前排膜拜 我就想知道,是竹子师傅么。前排膜拜。 前排膜拜 必须是竹子表哥。 win 7 写入断点断不下来吧 两次访问断点倒是可以到达光明彼岸 厉害了,多给点思路! 怎么哪里都有表哥的踪迹 师傅就是厉害啊
页:
[1]
2