ディレクトリ
@
1現在のパッカーを取得するには、exeinfo / PEIDとの情報を見ます
それは非常に古いシェルFSGを見ることができます。
分析:
Entry Point : 000000154
PEヘッダをこするためにPEのよく知られた構造、エントリポイント(コード)。WIN10ためだけWIN7その以前のマシン上でコードの実行を、持つことができない(限定された)PEヘッダには、このプログラムを実行することができます。だから、この非常に古いケースを脱いで仮想マシンを使用電流(I)win10マシン上で実行することはできません。
以下の構造を使用して、PE 2はLordPE観察されました
見るためにクリックセグメント情報:
分析:
0x17000実際のサイズ(ファイルのサイズ)が0であるが、最初のセグメントの仮想サイズ、の2つのがあり発見部は、ある部分が一掃されたとみなします
3使用ODデバッグこのプログラムは、OEPを見つけようとします
3.1 OD位置付け住宅を開きます
花と損傷の原因NOP命令は、タグのコメントを追加した後に正しく解決逆アセンブル- 「FSGシェル」
分析:我々が発見できた、シェルは長い0x4219D8場所アドレスのレジスタ内のすべてのデータ準備されている、現在のESPレジスタに環境を保存するために、現在位置のアドレスは、それが可能なPOPスタック操作は、オペレーティングシェルは良いデータが保存されます。なぜ我々は、操作の前にそれを見ることができませんか?ときに再分析殻を書き込んだ後
3.2 OEPを探してみてください
シングルステップ動作
最初の呼び出し(操作キャラクターのコア)に遭遇
0x000400160
:
CALL DWORD PTR DS:[EBX]
;此时EBX是 0x4219dc --- [EBX]:是0x4001e8 ```
入力します0x4001e8
:
実質的に低いコールアルゴリズムが理解結合
分析:
この文字列のコピーアルゴリズム(観察下淡)不可逆(A-> B、B-> Aを回収することができない)アルゴリズムのコピーが、不完全な情報、それは重要ではないかもしれません。我々は最初の可能無視 -----コピーサイクルを「このコピーアルゴリズムをスキップ:マウスの各JMP /コールクリック背後にある私たちの過去はあなたがそれを見つけるまでのように見えるために戻ってジャンプしません。私たちは、このコールの中核機能を分析したよう0x400160文オペコードにアドレスをコピーすることで、その上に無ハイライトカラーのバックを参照するには、マウスのクリック、それは一般的にそれを見つけるでしょう。それとも、プラグイン(asmHighLight.dll)を強調表示し、インストールあなたは、アルゴリズムのこの部分をスキップすることができます。
その後、我々は後に、コードの殻の最後のハイライトを見つけます。実際には、この無条件ジャンプ・フローは、これが私たちのアルゴリズムのセクションの最後の文です。
ジャンプ文字列コピーアルゴリズムの後、我々は唯一の10行にあることを見出しました。我々はOEPに直接、ブレークポイントのキーラインに直接ジャンプします。
その後、我々はOEPへのジャンプは、この文であるが見つかりました:
4ダンプ
インポート機能を入力した後、我々はいくつかのジャンプポイントデータを注文しそうに何の異常(異常データ)とを発見しました。
OllyDump OD直接提供されたプラグ、局部的にダンプします。
分析:
実際には、観測アドレスは、エントリポイントは、これらのヘッドには何もありません。あなたはクリックしなかった場合は砲撃を
5修理IAT
IATを修復するimpREC本明細書において使用されます
私たちは、それは例外がある場合IATテーブルを観察する必要があるだろう、ここIAT不完全な情報を見つけるました。
分析:
ここで見つける機能シフトすることで、テーブルはすぐにIATを見つけることができます。
例えばB000のためにここにRVA。その後、別の仮想アドレス空間は、次のように観察されたODで、40B000です。
我々が見つかりました、スライドダウン:
2つの外れ値はimpRECを解析停止:我々0000000の通常の間隔:
我々はimpRECで再び変更が完了した後のようなIATテーブルが今見え解析されました
最後に、私たちはODを使用してダンプを修復する]をクリックし、プログラムをダンプ
砲撃の後に私たちのテスト手順の6
はい!!!