目标:练手+
文件名:ImportREC_fix.exe
壳名:ASPack 2.12 -> Alexey Solodovnikov
PEID查:
结果:ASPack 2.12 -> Alexey Solodovnikov
一,od载入
00481001 > 60 PUSHAD //F8单步
00481002 E8 03000000 CALL ImportRE.0048100A //得到ESP 0012FFA4
(此时按第二步进行下断)
00481007 - E9 EB045D45 JMP 45A514F7
0048100C 55 PUSH EBP
二,下硬件断点
在命令行输入dd 0012FFA4 回车-->数值一栏中右键断点->硬件访问断点->word
三,F9运行
004813B0 /75 08 JNZ SHORT ImportRE.004813BA //单步
004813B2 |B8 01000000 MOV EAX,1 //单步f8
004813B7 |C2 0C00 RETN 0C //单步f8
004813BA /68 00C04700 PUSH ImportRE.0047C000 //单步f8
004813BF C3 RETN //标志性的C3 标志性的PUSH
四, RETN到此处 单步F8
0047C000 C705 96924200 E>MOV DWORD PTR DS:[429296],52D85E8
0047C00A 66:C705 9A92420>MOV WORD PTR DS:[42929A],9000
0047C013 E9 AB000000 JMP ImportRE.0047C0C3
五,OEP入口
00434E55 55 PUSH EBP //看到VC的特征入口 此处右键插件倒出
00434E56 8BEC MOV EBP,ESP
00434E58 6A FF PUSH -1
00434E5A 68 302E4500 PUSH ImportRE.00452E30
00434E5F 68 A83F4300 PUSH ImportRE.00433FA8
00434E64 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00434E6A 50 PUSH EAX
六,PEID查
Microsoft Visual C++ 6.0
七,运行测试正常。
ASPack 2.12 -> Alexey Solodovnikov
最新推荐文章于 2020-02-06 22:20:29 发布