最后一次异常的原理和走出异常的方法及IAT的修复问题。

最新推荐文章于 2021-06-22 15:06:13 发布
最新推荐文章于 2021-06-22 15:06:13 发布
阅读量1.7k 收藏
点赞数
文章标签: 汇编 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/4801641
版权

 

对于最后一次异常,在脱壳中用得挺多,但是对于为什么它能脱壳,以前还是有点疑问的。。。

 

首先,对于这种方法,我想应该从壳的角度出发来说说,壳通过某种方法,在程序运行之前,拿到控制权,

怎么样拿到它的控制权呢?

我想:应该是 INT 3 , 当然还有一些其他的方法,想一些 调试器的函数, SDK 和 WDK 里面可以去查到的,

最近开始设计一些驱动方面的东西,才知道ring 0 , 是多么的强大,哦,回到正题。。。

当中断下来之后。。

对程序的PE 进行处理,当然处理的方法很多,包括 压缩个节表的东西,对 IAT 处理,加入花指令,哦,花指令

大量的用于对 调试器的检查,pushaf ... popaf , 这是一组产生异常的常用的方法,当然方法很多。。

说了很多,当处理完之后的最后一次异常,壳将会把控制权交换给应用程序, OEP ,也就不远了。。。

说一下跑出异常的方法吧:

三种:  1: 当遇到 SEH 的异常时: 可以当开 view --> seh line ---> 在 seh 下断点,运行就跑出来了。。

2: 可以在 seh handle 出反汇编跟随,就会来到出口,在出口下段,记住此时的代码可能会乱序,这是

作者防止解密的行为,我们可以通过 shift + 箭头 来查看代码。。之后 ,shift + F9运行,就 O 了

注释:2中如果在在程序的领空,是不能在反汇编窗口跟随的。。。

3:在 ZwContion---> ecx + 0xb8 ---这就是异常的出口;

可以在 vc 中查看这个函数的用法:

如果我没有记错; ZwContion(void *);

 

 

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SE2.40 IAT修复v2.0,此脚本可修复散列IAT
03-16
SE2.40 IAT修复v2.0,此脚本可修复散列IAT,其他功能自己测试!
最后一次异常法_操作笔记
02-05 997
最后一次异常法 首先要把 Alt+o 调试设置 把忽略 所有异常的 √都取消掉 因为 要让异常出现 按SHIFT+F9 让异常出现 数几次 直到软件异常 这些异常就是壳的代码 断在最后一次异常   教程显示SE处理程序 有可能是SE句柄 反正是 SE开头的  右键反汇编窗口跟随 断下 se这里  后单步跟踪 注意向上的跳转 - Jmp ebp 如果是-好 没有上 没有下 通常
OD脱壳八大法
老北京砸酱锤的博客
06-22 3624
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
脱壳时快速定位“最后一次异常”的方法
liubingyuan的专栏
11-29 724
 ////////////////////////////////////////////////////////////////////////////////////////////文件名称:脱壳时快速定位“最后一次异常”的方法编写作者:Coderui编写时间:2008年05月02日联系方式:[email protected]作者博客:http://hi.baidu.com/coderui--
最后一次异常法真难搞
爱杀之爪的矩阵
12-05 1177
<br />        搞了N个od都不行,要么直接跑起来,要么没反应,最终下了个原版的OD2.0版本搞定,不过这个版本啥功能都没<br /> <br />太简陋了,连dump进程都得loadpe来完成,还不支持插件,冏搞了一晚上,勉强把UltraProtect 1.x -> RISCO Software Inc. <br /> <br />给脱掉了,并修复好输入表。这个是asprotect很早的版本了,这个壳对我来说太强大了。相信总有一天能脱掉的!呵呵,od的自动<br /> <br />跟踪功能很强
详解pandas DataFrame的查询方法(loc,iloc,at,iat,ix的用法和区别)
09-18
主要介绍了详解pandas DataFrame的查询方法(loc,iloc,at,iat,ix的用法和区别),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
C++获取当前进程IAT方法
09-04
主要介绍了C++获取当前进程IAT方法,实例讲述了IAT(导入地址表)的获取方法,在Windows应用程序开发中有着非常实用的应用价值,需要的朋友可以参考下
IAT+HOOK+纯手工出品+适合新手学习.zip
03-08
3.那么如果我们自己做一个假函数(参数数量,参数类型,返回值保持一致即可),把加载后的IAT表中这个messageboax的真实地址替换成我们的假函数的地址...那么,程序跳转(也就是call)的时候, 就会跳转到我们的函数里面,...
最后一次异常
weixin_30904593的博客
06-24 322
最后一次异常法 如果我们在脱壳的过程中发现目标程序产生大量异常的话,就可以使用最后一次异常法,我们来看一个例子,名字叫做”bitarts_evaluations.c”。 我们还是使用Patch过的OD来加载它,并且配置好反反调试插件。 然后将EXCEPTIONS菜单项中的忽略各个异常的选项都勾选上,运行起来。 我们可以看到程序运行起来了,我们单击工具栏中L按钮打开日志窗口。 ...
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
手动修复IAT
weixin_30402085的博客
06-17 741
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使...
脱壳进阶篇——IAT修复解密
摔不死的笨鸟的博客
12-09 2760
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT中的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT修复Dump的程序
banhanjun1518的博客
07-05 689
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
修复IAT
qq_41071646的博客
09-14 1865
链接:百度云盘 密码:yvt2 其实这个操作 我感觉是有、操作的 修复iat 需要的 有oep  有 IAT表的地址 (大小其实最好也算出来) 然后这篇就是手动查找IAT 然后这个先找到oep 然后直接修复镜像   右键 修复镜像 保存 然后查找 IAT 其实这个也很简单  在上面的脱壳   有 call  dword ptr ds[425210] 然后 很明显是一个调用的 api ...
逆向基础——软件手动脱壳技术入门
qq_47099828的博客
04-22 909
01一些概念 1.1 加壳 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序...
手工修复PE文件的IAT
xujunjie的专栏
11-04 2879
在做PE文件二次开发时常常需要手工添加导入函数,例如程序导入了7个dll文件(如下图),每个导入的dll有一个对应的IID: 其中前三个dll是程序隐式调用的,编译时会自动添加IID数组中,PE头中的数据目录项有一个AddressOfImport字段指向该数组的首地址,数组以一个全零的IID结束; 后面五个dll是手工添加进去的(可以借助LordPE工具添加),通过FirstTrunk可以看到
VC中的异常处理
wodamazi
09-01 153
在读《软件调试》的十一章时,感受到异常处理在VC中是十分重要的。以前自己写代码或者是看身边的人写的代码都很少用到异常处理,但最近在工作中会接触到老外牛人写的代码,几乎在每个关键的代码块都提供了异常处理,虽然在这些异常处理代码中只是简单的将异常的相关信息写入Event Viewer,但这已经对我们找到bug和了解系统运行情况提供了很大的帮助。于是乎我把学习这一章的心得总结出来,供大家分享。 ...
为什么某些壳脱壳后需要修复IAT
xrain_zh的专栏
04-04 3259
来自:http://bbs.pediy.com/showthread.php?t=151939 为什么要修复IAT? 首先得说一下程序调用DLL导出函数的原理, PE调用DLL里的函数,一般是先加载这个DLL模块到它的进程地址空间, 然后在加载后的地址范围内找到每个调用函数的地址, 在程序中你可以使用LoadLibrary()这个系统API去动态去加载某个DLL, 再通过G
详解pandas dataframe的查询方法(loc,iloc,at,iat,ix的用法和区别
最新发布
11-16
它可以使用标签或整数位置来定位数据,但是由于存在一些歧义和性能问题,自从pandas 0.20版本后,被推荐使用loc和iloc方法来替代ix方法。 总的来说,loc和at是通过标签进行查询的方法,iloc和iat是通过整数位置进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值