程序包含文件:
Encrypt.dll
导出8个函数 Proc1A Proc1w Proc2-Proc7
此程序当然是Win32程序,估计是调用了Encpypt那个dll做了个什么保护
先来动态的...
完咯..可能是防注入线程...OD附加..直接死...
又切试了下WPE抓包...估计WPE也注线程进去..然后APIHOOK Socket...当然又失败
然后OD直接打开...能行...走走走...
Lock int3 提示我去改EIP...改之..走之....走走走...
又死...
问题1:
add al,dh
int1
这段码在保护模式下的意思是什么?
在实模式下是什么?
问题2:
PEID查无法识别代码..朋友告诉我他查无壳
又用看雪的通用查壳去查...照样无法识别代码
但是我严重怀疑是有壳的,如果知道程序有壳无壳?
问题3:
我又用IDA Pro去静态分析.
发现他一开始就call到一段地方去...动态分配一段内存..具体搞了个什么也不清楚
我查EXE的导如表..如下情况
导入表所处的节:c3wxgi9u
------------------------------------------------
导入库: kernel32.dll
------------------------------------------------
OriginalFirstThunk 000800CC
TimeDateStamp 00000000
ForwarderChain FFFFFFFF
FirstThunk 000800B4
------------------------------------------------
导入序号 导入函数名称
------------------------------------------------
0 GetModuleHandleA
0 LoadLibraryA
0 GetProcAddress
0 ExitProcess
0 VirtualAlloc
0 VirtualFree
------------------------------------------------
导入库: user32.dll
------------------------------------------------
OriginalFirstThunk 00080108
TimeDateStamp 00000000
ForwarderChain FFFFFFFF
FirstThunk 00080104
------------------------------------------------
导入序号 导入函数名称
------------------------------------------------
当然,我直接用老罗(罗云冰写的那个PE导如表查看技术)...
我也不知道他是用了什么超现实主义的方法写的...
....
那么现在我想知道,1他的保护原理.2基于这种原理,我该如何去思考这个问题.
估计对老鸟来说,这些都没什么难度.生为新鸟的我,突然感觉到有点迷茫....希望和新鸟们一起进步..
希望有老鸟..指条路...破之...研究之...我需要的是思想,而不是绝对正确的答案..答案让我自己去体会...
迷茫ing...如果没加壳...杂保护的还如此牛B呢?...讨论之..
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
