[收藏本方案]

Armadillo 3.7X—4.X Code Injection[9]

[入库:2005年8月19日] [更新:2007年3月24日]

本文简介:选择自 bmd2chen 的 blog
首页 上页 下页 尾页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35]

我们直接改内存后,运行没有什么问题,这样就可以肯定要createfilea来读取加壳的文件。跟踪几次后发现用setfilepointer可以比较快的定位到crc处理的代码代码:

下断setfilepointer,运行中断后返回:

00e92f99    ffb5 9cfdffff   push dword ptr ss:[ebp-264]

00e92f9f    ff15 e021ea00   call dword ptr ds:[ea21e0]               ; kernel32.setfilepointer

00e92fa5    53              push ebx                                 ; 返回到这里

00e92fa6    8d85 b8feffff   lea eax,dword ptr ss:[ebp-148]

00e92fac    50              push eax

00e92fad    ffb5 88f9ffff   push dword ptr ss:[ebp-678]

首页 上页 下页 尾页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35]
本文关键:Armadillo 3.7X—4.X Code Injection
  相关方案
Google
 

本站最佳浏览方式为 分辨率 1024x768 IE 6.0(或更高版本的 IE浏览器)

go top