标签:block 观察 dll 调用 指令 环境 异常 拷贝 这一
分析:
Entry Point : 000000154
,熟悉PE结构的知道,入口点(代码)揉进PE头去了。在WIN10 以来在(被限制了)PE 头中不能有执行代码,只有在WIN7 及其以前的机器上,此程序才能执行。所以用虚拟机来脱这个很老的壳,在目前(本人)win10的机器上无法运行。
发现区段有两个,都把区段名抹去了;且第一个区段的虚拟大小虽然0x17000 但是实际大小(文件中的大小)是0
分析: 我们发现一进来,壳早就准备好了全部寄存器数据在地址0x4219D8的位置,把当前位置保存环境的地址放到当前的ESP寄存器,那就能POP栈操作,操作壳保存好的数据了。为啥我们看不到它之前的操作? 之后写壳的时候再分析
0x000400160
:CALL DWORD PTR DS:[EBX]
;此时EBX是 0x4219dc --- [EBX]:是0x4001e8
进入
0x4001e8
:结合 call 的下一句 大致理解这个算法
分析:
这个字符串拷贝的算法,(浅淡的观测下)不可逆的拷贝,而且信息不全,所以可能不重要。
我们可以先忽略这个拷贝循环 -----》 跳过这个拷贝算法: 我们在后面的每个 jmp/call 鼠标点过去一下看会不会跳回去之类的,直到找到了。
或者你安装了高亮插件(asmHighLight.dll):由于我们分析出这个拷贝的核心调用函数是 地址为 0x400160 这句opcode,那鼠标点在上面查看后面在哪里没有该高亮色,就大致找一下就能跳过这个算法部分了。
然后我们在壳代码后面部分找到了最后一个高亮。其实这个无条件跳转流这就是我们这个算法部分的最后一句了。
分析:
观察其实地址 、入口点这些 头没有错。如果没有就点击脱壳
我们发现这里查找出来的IAT信息不完全,那就需要观察IAT表是否有异常了。
分析:
通过这里找到的函数偏移,可以迅速定位到IAT表。
比如这里的rva为B000。那么再虚拟空间中的地址就是40B000,在OD中观察如下:
这两个异常值阻止了impREC的解析:我们该为正常的0000000间隔:
我们修改后再次用impREC解析 得到的IAT表目前来看貌似完成了
---恢复内容结束---
标签:block 观察 dll 调用 指令 环境 异常 拷贝 这一
原文地址:https://www.cnblogs.com/leibso-cy/p/SHELL_0_FSG.html