1. Trang chủ
  2. » Công Nghệ Thông Tin

Cracker Handbook 1.0 part 268 doc

6 80 1

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 6
Dung lượng 654,71 KB

Nội dung

F7 đến RETN, F8, tếip tục trace ,ta đến offset 0x0031343, thấy có một lời gọi hàm API VirtualAlloc khác ở offset 0x0031343 Tiếp tục F8 cho đến offset 00BA13C9, ở đây chúng ta thấy có một vòng lặp decryption. Một lần nữa lưu ý địa chỉ có lệnh PUSH 8000, có thể trỏ đến đoạn mã patching của ta. OFFSET (redirection #7): 0x00313D7 INSTRUCTION ORIGINATES THEM: PUSH 8000 - > 0x68 0x00 0x80 0x00 0x00 Nhấn F8 đoạn mã sẽ được ghi Tiếp tục từng bứơc , ta sẽ tới khối đoạn mã làm việc với IAT, chúng ta có 2 vòng lặp trộn lẫn. API được decode sẽ đuợc ghi từ offset 0x002C104, và vị trí kết thúc vòng lặp là 0x00315AB Một vài bước kế tiếp sẽ giữ chúng ta đến quy trình cổ điển của trình ASPACK. Chúng ta trace , tase thấy có đểim káhc đựơc khoanh như trên . Việc điều hướng đến mã của chúng ta được đặt ở đây offset 0x00315C1. OFFSET (redirection #8): 0x00315C1 ORIGINAL INSTRUCTION: POPAD/JNZ Ta đặt một điểm ngắt Hardware breakpoints trên offset 0x00289DC sẽ tiết kiệm thời gian hơn khi restart Olly. Bây giờ là thời điểm nói đến CRC checking (kiểm tra tính toàn vẹn trên đĩa cứng). Nhấn CRL+B đánh vào binary sau: Nhấn OK, ta sẽ tới đựơc đây, offset 0018662. Đoạn mã này có quan hệ đến việc ánh xạ file thông qua hàm MapViewOfFileEx mà được gọi bởi chỉ thị CALL EAX. Đặt điểm ngắt tại hàm MapViewOfFileEx. Chúng ta giữ ngắt đó, sau đó chúng ta lặp lại sự thực thi cho đến khi chúng ta gặp đoạn mã ở trên (dùng kết hợp ALT+M break on access trên vùng đang chạy sau đó ALT+F9 và shift + F9), sau đó chúng ta có thể tìm được key point sau đó chúng ta có được ảnh file được ánh xạ vào bộ nhớ, bạn hãy dùng thủ thuật tìm kiếm nhịe phân để tìm key point. . địa chỉ có lệnh PUSH 800 0, có thể trỏ đến đoạn mã patching của ta. OFFSET (redirection #7): 0x 00 313 D7 INSTRUCTION ORIGINATES THEM: PUSH 800 0 - > 0x68 0x 00 0x 80 0x 00 0x 00 Nhấn F8 đoạn mã. ta được đặt ở đây offset 0x 00 315 C1. OFFSET (redirection #8): 0x 00 315 C1 ORIGINAL INSTRUCTION: POPAD/JNZ Ta đặt một điểm ngắt Hardware breakpoints trên offset 0x 002 89DC sẽ tiết kiệm thời. RETN, F8, tếip tục trace ,ta đến offset 0x 00 313 43, thấy có một lời gọi hàm API VirtualAlloc khác ở offset 0x 00 313 43 Tiếp tục F8 cho đến offset 00 BA13C9, ở đây chúng ta thấy có một vòng lặp

Ngày đăng: 03/07/2014, 17:21

TỪ KHÓA LIÊN QUAN