下圖是我的機(jī)器中這個(gè)call了API的call的地址. 在API返回處BPX(這個(gè)call的下一行).

點(diǎn)擊RUN
現(xiàn)在在錯(cuò)誤entry 5E9c98上下HARDWARE BPX ON WRITE然后點(diǎn)擊RUN.當(dāng)在那兒寫(xiě)入時(shí)將被斷下.

你可以看到在前面一行保存著錯(cuò)誤值.后面指出這個(gè)錯(cuò)值從[ebp-394]處來(lái).所以在轉(zhuǎn)儲(chǔ)窗口中選擇GOTO EXPRESSION EBP-394. 那兒你將會(huì)看到這個(gè)值.下BREKPOINT HARDWARE ON ACCESS.

如果我按下運(yùn)行鍵，我將看到無(wú)論值是好是壞都在這一行被保存.看附近有一個(gè)call BPX它.

你可以看到這是關(guān)鍵call.因?yàn)楫?dāng)它結(jié)束時(shí)eax帶著稍后將寫(xiě)入的值. 我測(cè)試了這個(gè)call里的每一個(gè)跳轉(zhuǎn)(只有5到6個(gè),通常都是這樣):
00DF4B68 /75 03 JNZ SHORT 00DF4B6D
00DF4B79 /75 07 JNZ SHORT 00DF4B82
00DF4B8D /74 0C JE SHORT 00DF4B9B
00DF4B92 /74 1B JE SHORT 00DF4BAF
00DF4B99 ^75 F4 JNZ SHORT 00DF4B8F
勝利者是DF4B8D處的跳轉(zhuǎn). 正如我先前所說(shuō)的在所有的armadillos里都是一樣的,所以當(dāng)我們?cè)诿撈渌黙rmadillo時(shí),通過(guò)跟蹤這些代碼我們可以很容易發(fā)現(xiàn)這個(gè)好跳轉(zhuǎn).
00DF4B8D /74 0C JE SHORT 00DF4B9B
它必須永遠(yuǎn)跳轉(zhuǎn),所以我們做如圖修改:

清除BPX點(diǎn)擊run. (記住清除hardware bpx). 當(dāng)程序走到我們修改為死循環(huán)的指令那兒時(shí)輸入表已經(jīng)修復(fù)了,再也沒(méi)有壞值了. 然后它在子進(jìn)程的OEP處停下.在紙上寫(xiě)下magic jump的值(EB 0C),記住.
我們將要重復(fù)那些步驟.當(dāng)我們走到上次我們unhook 子進(jìn)程那一步時(shí),我們將要在magic jump處設(shè)置一個(gè) infinite loop代替在API上設(shè)置.

在那兒從父進(jìn)程處unhook子進(jìn)程,然后它將在magic jump處死循環(huán).
附加子進(jìn)程,按 RUN, 然后停止(F12). 它將停在magic jump.

現(xiàn)在還沒(méi)有任何改變,因?yàn)閙agic jump還沒(méi)起作用.把它改回先前的值(EB 0C).

如果我們運(yùn)行程序,它將停在OEP,而且輸入表也很完美和完整.現(xiàn)在我們可以利用這個(gè)進(jìn)程用Import Reconstructor去修復(fù)在第一部分中轉(zhuǎn)儲(chǔ)的程序了.

所有的值都是好的.最后那幾個(gè)是指向dll的.

那些值指向Exxxxx,如果我們看看VIEW-MEMORY我們可以得知那是dll.

現(xiàn)在我們要用一下Import Reconstructor.
打開(kāi)Import Reconstructor在"Attach to an Active Process"對(duì)話框選擇這個(gè)進(jìn)程.

裝載這些dll需要很長(zhǎng)一段時(shí)間.當(dāng)完成后寫(xiě)下OEP的值,表的起始地址值和表的長(zhǎng)度,不要按IAT AutoSearch.

如圖在IMPORT RECONSTRUCTOR中那些值是這樣計(jì)算的:你在紙上寫(xiě)下的值-Image Base. 比如: OEP=534E90, Image Base=400000, 534E90- 400000= 134E90. RVA也一樣 (表的起始地址值).
現(xiàn)在按GET IMPORTS. 所有的entries都修復(fù)了.

最新評(píng)論