随笔分类 - 逆向分析相关
摘要:1、使用Detect It Easy查壳,该壳未显示出壳信息,至于为何有壳,我们使用IDA打开,查看其的导入表,其中没有太多函数使用;2、我们使用x32dbg打开,运行至入口点,此处没有pushad,在此处我们向下查找,只要能够找到大跳转,也能到OEP;3、成功找到大跳转jmp tslgame_rl.407ADE,而此时EIP的地址为004011EA,我们在此处下断点运行,然后单步步入;4、在这里...
阅读全文
摘要:1.进行查壳操作因其是自制的壳,所以用工具是查不到壳的特征码,也就查不出壳;2.确定重定位已分离如果不进行重定位分离的话,会产生随机基址,从而导致脱壳失败3.查找OEP①使用ESP定理②寻找OEP位置(OEP:47148B)记得“右键”点击“分析”选择“删除分析”4.查看导入地址表IAT由于已经找到了OEP,而导入地址表IAT的加载在OEP后的不远处,通过单步步过,可以发现004714B1 ...
阅读全文
摘要:1、使用Detect It Easy进行查壳;2、使用x32dbg打开该带壳程序,在选项->选项->异常中添加区间设置0~FFFFFFFF全忽略;3、我们F9运行到程序入口处,会看到mov eax,puah eax,push dword,我们单步跳转到push dword的位置,堆栈窗口压入了一行地址,右键,内存窗口跟随该地址;4、在该内存处下dword的硬件访问断点,然后F9运行,至图中位置后,...
阅读全文
摘要:1、使用Detect It Easy进行查壳;2、使用x32dbg打开该带壳程序,在选项->选项->异常中添加区间设置0~FFFFFFFF全忽略;3、我们F9运行到程序入口处,看到了pushad,我们使用ESP定律进行脱壳;4、运行后的位置在lea eax,我们可以看到其下有jne upx(3.91).407ABB,jmp upx(3.91).4012CD,我们当前的EIP地址为00407AB7,...
阅读全文
摘要:1.查壳2.x32dbg脱壳在第二个xchg处使用ESP定律脱壳;由于FSG壳特性,在跳转后位置向上查找,找到js\jne\jmp,jmp就是OEP位置;在此处使用工具进行脱壳;完成!3.总结在进行FSG脱壳时,遇见了一些问题,最开始是使用OD进行脱壳的,前面都没有太大问题,在使用ImportREC进行修复IAT表时,会出现修复不全,此问题属于ImportREC问题,并未解决,之后使用x64dbg...
阅读全文
摘要:1.查壳2.LoradPE工具检查一方面可以用LoradPE工具查看重定位,另一方面也可获取一些详细信息3.查找OEP①未发现pushad开始未发现pushad,进行单步步入,很快就能找到pushad②使用ESP定律这里要注意如果是有守护进程的话,需要使用【Crtl+G】,在输入框中输入“CreateMutexA”,点击“OK”,解除双进程守护。我们在函数末尾的Retn 0xC处下断点,因为壳会判...
阅读全文
摘要:1.查壳2.找到OEP对第二个Call使用ESP定律,再跳转后的位置进入第一个Call,这里就是OEP了,在这里直接dump的话会失败,那是因为MoleBox壳对IAT进行二次跳转,我们先在OEP位置设置软件断点;3.手动修复IAT我们数据窗口跟随到这个加载系统函数的地址就是IAT;我们看到有部分IAT被隐藏到了其它位置,我们使用硬件写入断点,从新运行此程序,找到写入位置;我们通过硬件写入断点找到...
阅读全文
摘要:0x01 PEid查壳0x02 分离重定位此步骤主要是为了关闭随机基址;0x03 ESP定律法查找OEP在第二个retn的位置进入;进入jmp跳转中;在这里,我们可以再次使用ESP定律,当然也可以数据窗口跟随图中位置,我们可以看到其在解密IAT,当跑完IAT,释放堆空间后,找到大跳,就是OEP了;进
阅读全文
摘要:1.查壳使用PEiD未能检测到壳信息,这时,我们更换其他工具从图中可以看到壳的信息为【NsPacK(3.x)[-]】2.百度壳信息北斗程序压缩(Nspack)是一款压缩壳。主要的选项是:压缩资源,忽略重定位节,在压密约偷期前备份程充,强制压缩等3.使用OD打开,查看信息打开程序后,未发现pushad,单步步入追踪,查找pushad,很快就能找的pushad信息4.壳特征定位通过壳特征就能快速定位到...
阅读全文
浙公网安备 33010602011771号