- UID
- 242
注册时间2005-3-6
阅读权限40
最后登录1970-1-1
独步武林
 
该用户从未签到
|
发表于 2014-5-4 16:42:20
|
显示全部楼层
本帖最后由 lgjxj 于 2014-5-4 16:44 编辑
帮你看了看,第一次分析 ACP ,感觉和现在的壳比起来温柔多了,帮你一下,后面的你自己完成 (这样才有意思 )
其实也不是帮你,我就真的没分析过这个老壳,顺手看看 。。。。
你现在的任务就是想个办法,把 [esp+8] 的 API 地址保存起来,然后 在 2_b 处废掉这条代码,然后把保存的填回去(进步靠自己)
var i
var 1_b
var 2_b
bc
bphwcall
gpa "GetModuleHandleA", "kernel32.dll"
find $RESULT,#ebed#
go $RESULT
STI
sti
find eip,#8BC65EC9C20400#
bp $RESULT+4
l:
esto
inc i
cmp i,12
je o
jmp l
o:
bc
sti
findmem #606681D901F661B8DD36B46105B3F36DBA0571D5DDE3E912000000#,00A00000
mov 1_b,$RESULT
findmem #83EC04891C2488CB5088DC88228B042483C4048B1C2481C4040000008B0C24#,00A00000
mov 2_b,$RESULT+b
log 1_b // 断在这里,esp+8 = API 地址
log 2_b // 这里负责写入 E9 (JMP ) 跳来跳去的,呵呵
|
|
IP卡
发表于 2014-5-3 17:23:25
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2014-5-3 21:37:55
楼主
谢谢前辈的指点 有了思路豁然开朗 脚本会一点点,不过一直没怎么用过,现在先来试一试了。。