亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Getright 5 手動脫殼和重建IAT--第一部分(圖)

互聯(lián)網(wǎng)   發(fā)布時間:2008-10-08 19:05:36   作者:佚名   我要評論
這是一篇Armadillo加殼軟件Getright 5.01的脫殼譯文,我是參照Ricardo Narvaja的“Getright 5 脫殼和重建IAT”的文章以及Bighead[DFCG][YCG]的譯文,一邊實踐一邊再次翻譯的。感謝Ricardo Narvaja和Bighead[DFCG][YCG]。 Armadillo for Dummies: Getright 5 手動脫殼

第五步: 運行API并在OEP處設一個無限循環(huán)
現(xiàn)在到了執(zhí)行WriteProcessMemory一次了. 我們有兩條路可走,可以選擇執(zhí)行到返回它將會執(zhí)行直到RET,然后按一次F7. 第二個選擇是去stack第一行在那兒設一個BPX最后運行它.
在stack第一行提示程序會返回到5F94A4, 我們到那兒BPX (F2)然后運行它(F9).

現(xiàn)在該用PUPE了. PUPE是一個西班牙工具.你可以在www.google.com搜索一下. 通過下面幾行代碼我們將要在son的OEP設置一個無限循環(huán).這會使son休眠直到我們叫醒它.
這是一張PUPE的圖片.我們可以看到有兩個進程, the son and the father.上面那個是son. 在右邊我們可以看到進程句柄.

選擇上面那個getright.exe然后右擊選擇"parchear".

寫下出現(xiàn)在對話框中的original bytes然后用無限循環(huán)代碼EB FE代替,如下面的對話框中所示.
最后一步就是"PARCHEAR"然后INFINITE LOOP就準備好了.

第六步: BP WAITFORDEBUGEVENT 和 NOP THE API
不要清除先前斷點WriteProcessMemory,是時候寫入新斷點了.鍵入BP WaitForDebugEvent回車, 然后按F9運行

它停下時

你必須記住NEVER EVER RUN THIS API.在轉儲窗口"DUMP window"看一下report, 然后去堆棧窗口(STACK window).

正如我們看到的如果我們運行這個API我們應該去5F751D,所以讓我們通過"前往 表達" 5F751D到主窗口.

再一次提醒不要RUN THIS API.所以右擊5F751D選擇"新建起源".這是跳過這個API的方法.

現(xiàn)在我們必須nop the call to the api以及有關的push.

所以在這些行上按空格鍵然后寫入nop.當你完成這項工作時,將會如下圖所示. 這一步結束了.


相關文章

最新評論