首页
论坛
课程
招聘
雪    币: 232
活跃值: 活跃值 (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝

[原创]一个处理SVKP1.32 Stolen code的小脚本,自学用

2009-2-3 13:04 3553

[原创]一个处理SVKP1.32 Stolen code的小脚本,自学用

2009-2-3 13:04
3553
我在看3800cc的教程,其中中级的第九篇脱的是SVKP 1.32的壳。看完教程后,一头雾水,最后是脱成功了,感觉最难的部分是找stolen code那里。所以这个小脚本就是按照教程把一些手工的东西变成自动,最后把stolen code那部分要分析的代码放在运行跟踪里面。这是第一次写的脚本,也算是一次学习吧。

//
// im only a beginner...
//

var addrGetModuleHandleA

GPA "GetModuleHandleA", "Kernel32.dll"
mov addrGetModuleHandleA, $RESULT
BP addrGetModuleHandleA + 9
RUN
BC addrGetModuleHandleA + 9
RTU

// 来到IAT特殊处理的地方
// 特征码:
// cmp dword ptr ds:[ebx],2D66B1C5
FIND eip, #813BC5B1662D#
mov [$RESULT+6], #eb5890909090#
mov [$RESULT+7e], #eb4c90909090#

// 特征码:
// mov dword ptr ds:[edi],eax
// popad
FIND eip, #890761#
mov [$RESULT], #618907#
bp $RESULT
RUN
bc $RESULT

BP addrGetModuleHandleA + 9
RUN
BC addrGetModuleHandleA + 9
RTU

// 下硬件断点在12ffb0,断三次后取消开始trace
BPHWS 12ffb0, "r"
RUN
RUN
RUN
BPHWC
TICND "ebp==12FFC0"
StO

// 开始处理特征码
bp 4052B6
TC
TOCND ""

// 脚本结束,可以在运行跟踪窗口中分析stolen code
RET

HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

最新回复 (2)
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
落花 活跃值 2009-3-3 11:34
2
0
怎么用啊,不会用
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wzkn 活跃值 2009-3-3 17:14
3
0
学习中,....
游客
登录 | 注册 方可回帖
返回