沈陽電腦維修網,沈陽上門維修電腦服務
當前位置: 主頁 > 程序數據代碼>逆向分析:常見程序入口點(OEP)特征總結 >

逆向分析:常見程序入口點(OEP)特征總結

時間:2017-5-23來源:www.jdflqf.live 作者: 沈陽電腦維修網點擊:
沈陽電腦維修,上門維修電腦
  沈陽電腦維修上門服務13889116605: delphi:55PUSHEBP8BECMOVEBP,ESP83C4F0ADDESP,-10B8A86F4B00MOVEAX,PE.004B6FA8vc++55PUS... delphi: 55PUSHEBP 8BECMOVEBP,ESP 83C4F0ADDESP,-10 B8A86F4B00MOVEAX,PE.004B6FA8 vc++ 55PUSHEBP 8BECMOVEBP,ESP 83EC44SUBESP,44 56PUSHESI vc6.0 55pushebp 8BECmovebp,esp 6AFFpush-1 vc7.0 6A70push70 6850110001pushhh.01001150 E81D020000callhh.010017B0 33DBxorebx,ebx vb: 00401166–FF256C104000JMPDWORDPTRDS:[<&MSVBVM60.#100>];MSVBVM60.ThunRTMain 0040116C>68147C4000PUSHPACKME.00407C14 00401171E8F0FFFFFFCALL<JMP.&MSVBVM60.#100> 004011760000ADDBYTEPTRDS:[EAX],AL 004011780000ADDBYTEPTRDS:[EAX],AL 0040117A0000ADDBYTEPTRDS:[EAX],AL 0040117C3000XORBYTEPTRDS:[EAX],AL bc++ 0040163C>$/EB10JMPSHORTBCLOCK.0040164E 0040163E|66DB66;CHAR‘f’ 0040163F|62DB62;CHAR‘b’ 00401640|3ADB3A;CHAR‘:’ 00401641|43DB43;CHAR‘C’ 00401642|2BDB2B;CHAR‘+’ 00401643|2BDB2B;CHAR‘+’ 00401644|48DB48;CHAR‘H’ 00401645|4FDB4F;CHAR‘O’ 00401646|4FDB4F;CHAR‘O’ 00401647|4BDB4B;CHAR‘K’ 00401648|90NOP 00401649|E9DBE9 0040164A.|98E04E00DDOFFSETBCLOCK.___CPPdebugHook 0040164E>\A18BE04E00MOVEAX,DWORDPTRDS:[4EE08B] 00401653.C1E002SHLEAX,2 00401656.A38FE04E00MOVDWORDPTRDS:[4EE08F],EAX 0040165B.52PUSHEDX 0040165C.6A00PUSH0;/pModule=NULL 0040165E.E8DFBC0E00CALL<JMP.&KERNEL32.GetModuleHandleA>;\GetModuleHandleA 00401663.8BD0MOVEDX,EAX dasm: 00401000>/$6A00PUSH0;/pModule=NULL 00401002|.E8C50A0000CALL<JMP.&KERNEL32.GetModuleHandleA>;\GetModuleHandleA 00401007|.A30C354000MOVDWORDPTRDS:[40350C],EAX 0040100C|.E8B50A0000CALL<JMP.&KERNEL32.GetCommandLineA>;[GetCommandLineA 00401011|.A310354000MOVDWORDPTRDS:[403510],EAX 00401016|.6A0APUSH0A;/Arg4=0000000A 00401018|.FF3510354000PUSHDWORDPTRDS:[403510];|Arg3=00000000 0040101E|.6A00PUSH0;|Arg2=00000000 00401020|.FF350C354000PUSHDWORDPTRDS:[40350C];|Arg1=00000000 ++++++++++++++++++++++++++++++++ 看到這里,你應該會問:那么要如何為裝?下面我們簡單的介紹一下: 1、用ToPo增加大約128字節的空間[注:個人愛好而定], 2、進入LordPE的PEEditor,打開Target.exe, 把.topo0段名改為.text,裝的更像一點[注:也可以個性一點改成自己的大名,不影響結果] 記下VOffset:13000,把入口點改為這個值.OllyDbg載入Target.exe,轟~我們來到了一個異常, 向上拉動滾動條,來到413000處改寫代碼: ++++++++++++++++++++++++++++++++ 偽造VC++入口代碼特征 ++++++++++++++++++++++++++++++++ pushebp movebp,esp push-1 push666666 push888888 moveax,fs:[0] pusheax movfs:[0],esp +++++++++++++++下邊再恢復+++++++++++++++ popeax movfs:[0],eax popeax popeax popeax popeax movebp,eax 別忘了jmp405000,也就是殼的入口點.選中修改過的代碼按右鍵,把它保存為newTarget.exe. PEiD偵測一下:MicrosoftVisualC++,并且運行正常,任務完成
上一篇:Root 和grub加密與破解
查看[逆向分析:常見程序入口點(OEP)特征總結]所有評論
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
用戶名: 驗證碼:
推薦內容
關于我們 服務價格 聯系我們 企業網站優化 沈陽網站建設 沈陽維修電腦
超联赛赛程时间表