神秘脱壳——MoleBox

查壳:
在这里插入图片描述
脱加密IAT(其实这个也不是加密壳,但是原理差不多)表的三个要素:
1、找到OEP
2、找到正常IAT的位置
3、找到修改IAT的位置
找到这三个地方之后,所有的问题迎刃而解。最后还有一个问题,怎么找IAT,怎么判断找到的是IAT,这个时候就涉及到一个问题:什么是IAT?IAT是导入表里边用来存储要使用的函数的地址,所以,这个问题就解决了,怎么找IAT,找CALL指令指向的地址,当然也可以直接找CALL系统函数的地方,比如说CreateProcess之类的函数。
接下来正式脱壳:
第一步:找OEP
Pushad:ESP定律,ESP下硬件断点,下段之后,单步步入:OEP到位
在这里插入图片描述
顺手可以找到IAT表:
在这里插入图片描述
在这里插入图片描述
可以发现这个时候的IAT表已经是异常状态的了,说明IAT表已经被修改过了,这个时候,在异常的IAT表的地方下硬件写入断点,去掉之前下的ESP硬件断点,记住下断点的地址:
在这里插入图片描述
之后重载程序,记住这个时候要查看一下,硬件写入断点是不是确实存在,如果不存在,重新下硬件写入断点(或者再重载一次),之后dd到你刚才下断点的地址:在这里插入图片描述
下一步,让程序,跑起来(直接F9):跑起来之后要注意,地址窗口的变化,当该地址处出现本来的函数的时候,停下,记录程序的运行地址:在这里插入图片描述
在这里插入图片描述
也就是说,再程序运行到这个地方的时候,IAT表还是正常的,我们的正常的函数的地址存储在寄存器EAX里边:
在这里插入图片描述
记录好这些数据之后,让程序继续跑起来,继续我们的下一项工作,寻找IAT被修改的地方:(F9让程序继续跑起来,同时注意地址窗口数据的变化):
在这里插入图片描述
这个时候,我们同样记录程序的运行地址,记录的是IAT被修改的地址,目前程序运行到4BA0E4的地方,但是这个时候IAT表已经被修改了,所以修改IAT的语句应该是4BA0E2地址的语句。
这样的话,我们的三个工作都已经完成,接下来就是写脚本来修复IAT表:
在这里插入图片描述
在这里插入图片描述
之后,进行脱壳:成功运行
在这里插入图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
  MoleBox9x 就是 MoleBox 的最新升级版,MoleBox9x 是一个 Windows 应用程序的运行时可执行文件打包工具。它可以将一个应用程序及其需要的所有数据文件打包为一个可执行文件。MoleBox 也允许你用一套数据包创建一个可执行文件就像整合动态链接库到可执行文件一样。 当处理一套应用程序时,MoleBox9x 可以压缩并加密可加密的文件、数据和媒体文件及动态链接库。您可以用 MoleBox 保护您的应用程序的数据和媒体文件,防止查看和改动,并防止您的动态链接库被第三方程序使用。 MoleBox9x 不会影响原始应用程序的任何功能,也不需要任何额外的编程。解压和解密(如果必需)是自动进行的,运行应用程序时感觉不到。 使用技巧: MoleBox9x 是一款实时 EXE 封包工具,可以将 Windows 平台上的应用程序与其辅助数据及运行组件合成封包为一个单一的文件,封包后的文件仍能完好运行。MoleBox9x 提供两种封包方式:x1+x2+x3+...+x99=y1 以及 x1+x2+x3+...+x99=y1+y2。前者系将加载器与外部数据合成打包,适合封包“伪绿色软件” - 你可以把带一大堆库文件及外部数据的软件封包为只有1个EXE的软件。而后者的y1代表加载器,y2代表外置数据包,在封包较大的东东时可以有效。 常见问题: MoleBox9x 并不能封包一切软件,即使软件是绿色软件。能否使用 MoleBox9x 来封包,只有封包完了运行才知道。 注册说明: 软件已经破解,随意输入注册信息进行注册。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值