1. Trang chủ
  2. » Công Nghệ Thông Tin

Cracker Handbook 1.0 part 337 pdf

6 91 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Cracker Handbook 1.0 Part 337
Thể loại tiểu luận
Định dạng
Số trang 6
Dung lượng 176,4 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

_ Load target vào OllyDBG và chúng ta dừng tại Entry Point : _ Trước tiên, trong Olly, chúng ta chọn menu Options/Debugging options như hình dưới đây:... _Bây giờ chúng ta tìm đến OEP t

Trang 1

_Tiếp theo Run thử Target

_Sau đó Nhấn Ctrl+Alt+Delete để khởi động TaskBar Manager, và thấy chỉ có 1 Process đang chạy như vậy có nghĩa là không có CopyMemII, Debugblocker và Nanomites mà chỉ ở dạng Standard

Trang 2

_ Load target vào OllyDBG và chúng ta dừng tại Entry Point :

_ Trước tiên, trong Olly, chúng ta chọn menu Options/Debugging options như hình

dưới đây:

Trang 3

_Bây giờ chúng ta tìm đến OEP thật của chương trình này bằng cách Open

Window [Memory map] (Alt+M), click vào section text và set break-on-access

trên section này như hình:

_Press Shift+F9 , và nó sẽ dừng lại tại đây và đó chính là OEP gốc của chương

trình, bạn nên ghi nhớ địa OEP=00466EAA:

_chắc nhiều bạn hỏi tại sao khi set break-on-access tại section text và nhấn

Shift+F9 thì lại tới được OEP gốc Bởi vì khi target run thì Armadillo có nhiệm

vụ sẽ giải nén và giải mã dữ liệu rồi chép vào section text, sau đó cho thực thi các

chỉ thị trong section text mà Section này chứa code của chương trình gốc Vì vậy

OEP sẽ sẽ nằm trong section này Do đó, chúng ta sẽ set break-on-access trên

section này Mục đích để chương trình truy xuất bất cứ dữ liệu nào trong section

này sẽ bị break lại và đó chính là OEP gốc của chương trình

Trang 4

_Tiếp theo chúng ta tiến hành Dump Full process SWFText.exe bằng LordPE

thành file dumped.exe

_ Open ImpRec 1.6, Chọn proccess là SWFText.exe, điền OEP= 66EAA

(0x466EAA - 0x400000 = 66EAA), Press “IAT AutoSearch” , Press button “Get Imports” và press button “Show Invalid” và ta được như hình sau

Trang 5

_Nhìn vào thì rõ ràng IAT ta đã bị Arma giấu đi một số hàm Nhiệm vụ của chúng

ta là cần tìm tới Magic Jump và patch nó nhằm có được bản IAT Full Trong Window CPU bên dưới OEP 1 chút ta thấy hàm API kernel32.GetVersionExA Chúng ta sẽ dump nó trong window dump of Olly.Click phải chuột trên

00466ECA, Chọn Folow in dump/Memory address như hình

Trang 6

Trong window dump,chúng ta set 1 breakpiont Hardware, on write / Dword tại

địa chỉ address 0055946C như hình sau:

Ngày đăng: 03/07/2014, 18:20

Xem thêm

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN