1. Trang chủ
  2. » Công Nghệ Thông Tin

Cracker Handbook 1.0 part 316 pps

5 115 2
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 373,77 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

OK phát, nhớ là trước đó ,trong Option của Import phải uncheck cái này nhé : Vì sao phải thế thì trong Tut Armadillo_DLL_Unpacking_n_More đã bàn tới... Nếu theo tut của MaDMAn_H3rCuL3s

Trang 1

OK phát, nhớ là trước đó ,trong Option của Import phải uncheck cái này nhé :

Vì sao phải thế thì trong Tut Armadillo_DLL_Unpacking_n_More đã bàn tới Điền OEP = 1000 ,nhấn IAT Auto Search Get Import Tiếp tục nhấn Show Invalid , ở đây có vài giá trị invalid :

Trang 2

Nếu theo tut của MaDMAn_H3rCuL3s thì ta nên chọn Dissamble/ Hex View tại từng giá trị Invalid của module này để tìm chính xác các IAT bị Hide Nhưng

ko biết lão ta có lầm hay ko ,ở đây Mole hầu như vẫn chưa can thiệp gì vào việc Hide/Eliminate IAT cả Và để chắc ăn ,các bạn có thể kiểm tra bằng cách kiếm một bản msvcp60.dll khác (đây ko phải là module thiết kế riêng cho Mole, nó là

module dành cho các app code bằng C++) Phiên bản mà Mole 2.6 dùng là

6.0.8972.0, tuy nhiên chỉ cần so với phiên bản 6.0.8168.0 ta cũng thấy rằng ko có thêm IAT nào tại các vị trí trên Do đó an tâm mà Cut Thunk(s) tất cả :

Sau đó thì fix Dump được rồi :

Trang 3

coi tut Armadillo_DLL_Unpacking_n_More ,trong đó trick cũng trình bày vài khái niệm cơ bản để unpack 1 file DLL

Trước hết là Imagebase, ta xem đã Dump file tại ImageBase nào , quay lại

memory map trong Olly :

Địa chỉ đầu tiên load PE Header của module cũng chính là ImageBase cần tìm , vậy IM = 780C0000 Dùng PE Editor của LordPE để mở file đã fix Dump khi nãy :

Vậy ko cần chỉnh sửa thêm ,IM trong memory cũng là IM mặc định của file .Nhưng vẫn còn Relocation ,nhấn vào nút Sections ngay bên phải :

Trang 4

5E000 chính là nơi bắt đầu của section chứa Relocation ,kế bên là size thật của

nó Cẩn thận thì ta nên xác định lại trong memory cho chắc ăn Ta thấy relocation bắt đầu ở :

7811E000 – IM: 780C0000 = 5E000 Và kết thúc ở :

78120CF0 – 7811E000 = 2CF0 Như thế là địa chỉ bắt đầu và Size của

Relocation đều chính xác Quay lại PE Editor, Close phần section ,chọn tiếp

Directories :

Trang 5

Save rồi lại Save Đổi tên file Fix Dump lại thành tên gốc của nó : msvcp60.dll Thế là xong module đầu tiên rồi đấy Ta trở lại Olly và tiếp tục từ điểm dừng trước

đó :

Nhớ rằng đã set bp VirtualProtect trước đó, giờ ta bỏ nó đi bằng bc

VirtualProtect Nếu BP ban đầu set tại CreateFileA vẫn còn thì bạn hãy nhấn Shift-F9 ,Olly sẽ break và dòm xuống Stack để tóm module thứ 2:

Ngày đăng: 03/07/2014, 18:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN