跳至主要内容

加壳原理之在OEP前执行代码

http://ift.tt/2ARJ9dy

目标:再程序入口点前执行一个MessageBox,然后返回到程序入口点,正常执行程序

00411358    64:A1 30000000  MOV EAX,DWORD PTR FS:[0x30]
0041135E    8B40 0C         MOV EAX,DWORD PTR DS:[EAX+0xC]
00411361    8B40 0C         MOV EAX,DWORD PTR DS:[EAX+0xC]
00411364    8B00            MOV EAX,DWORD PTR DS:[EAX]
00411366    8B00            MOV EAX,DWORD PTR DS:[EAX]
00411368    8B40 18         MOV EAX,DWORD PTR DS:[EAX+0x18]          ;  获取kernel32.dll的Hmoudle
0041136B    51              PUSH ECX                                 ; 保存寄存器环境
0041136C    8BC8            MOV ECX,EAX
0041136E    51              PUSH ECX                                 ; 保存一下kernel32的hModule,GetPRocessd 的时候还要用
0041136F    E8 0C000000     CALL 00411380
00411374    75 73           JNZ SHORT 004113E9
00411376    65:72 33        JB SHORT 004113AC
00411379    322E            XOR CH,BYTE PTR DS:[ESI]
0041137B    64:6C           INS BYTE PTR ES:[EDI],DX
0041137D    6C              INS BYTE PTR ES:[EDI],DX
0041137E    00CC            ADD AH,CL                                ; 这上面一直到call 其实都是user32.dll的字符串
00411380    81C1 00850200   ADD ECX,0x28500                          ; LoadLibraryA
00411386    FFD1            CALL ECX
00411388    90              NOP
00411389    90              NOP
0041138A    90              NOP
0041138B    59              POP ECX                                  ; 重新获取kernel32.dll 的HMODULE
0041138C    E8 0D000000     CALL 0041139E
00411391    4D              DEC EBP
00411392    65:73 73        JAE SHORT 00411408
00411395    61              POPAD
00411396    67:65:42        INC EDX
00411399    6F              OUTS DX,DWORD PTR DS:[ESI]
0041139A    78 57           JS SHORT 004113F3
0041139C    00CC            ADD AH,CL
0041139E    81C1 00A20100   ADD ECX,0x1A200                          ; 上面一直到call 都是MessageBoxW的字符串
004113A4    50              PUSH EAX
004113A5    FFD1            CALL ECX                                 ; call的是GetProcAddress
004113A7    83C4 08         ADD ESP,0x8
004113AA    6A 00           PUSH 0x0
004113AC    6A 00           PUSH 0x0
004113AE    6A 00           PUSH 0x0
004113B0    6A 00           PUSH 0x0
004113B2    FFD0            CALL EAX                                 ; 调用MessageBoxW
004113B4    83C4 10         ADD ESP,0x10
004113B7    59              POP ECX                                  ; 回复寄存器环境
004113B8  ^ E9 89FCFFFF     JMP <ModuleEntryPoint>              ; 返回原本的OEP
  • 至于上免的字符串跳转为什么要用call 不用jmp,因为call的话直接把下一条的地址入栈了,也就是把字符串入栈了,可以直接作为参数使用

The post 加壳原理之在OEP前执行代码 appeared first on cole.

http://ift.tt/eA8V8J reverse engineering, hack, Program packers, reverse December 04, 2017 at 09:19PM
标签:

评论

发表评论

此博客中的热门博文

反Hook 之自己实现GetProcAddress和LoadLibraryA(c++ version)

http://ift.tt/2AocAD0 // 课上练习.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> //要实现的功能: /* 自己实现GerProcAddress LoadLibraryA */ //思路: /* GerProcAddress和LoadLibraryA都是在Kernel32.dll中的 首要的任务就是找到Kernel32.dll,然后遍历IAT就能找到这两个函数 现在首要的难点就是如何找到kernel32.dll() 通过dll的加载顺序可以找到,而且虽然需要使用未文档化的API,但是好在windgb可以直接看,而且用到的也并不是很多 懒得去晚上搜了,直接自己实现一个得了,作为演示,能用就行(最好还是搜一个正规的结构体) */ /* 0: kd> dt _TEB /a nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID +0x028 ActiveRpcHandle : Ptr32 Void +0x02c ThreadLocalStoragePointer : Ptr32 Void +0x030 ProcessEnvironmentBlock : Ptr32 _PEB //首先实现部分TEB结构体,因为只需要用的PEB的部分,所以实现到这就ok了 */ //构建 TEB typedef struct _TEB { //保证0x30是peb的结构体就ok了 struct _tem { DWORD a1; DWORD a2; DWORD a3; DWORD a4; DWORD a5; DWORD a6; DWORD a7; DWORD a8; DWORD a9; DWORD a10; ...
发表评论
阅读全文

IDA动态调试ELF中遇到的问题(1)

https://ift.tt/2Gxnf2F 遇到 got SIGCHLD singal(child status has changed)...这种提示 singal fork了子进程 直接点yes,然后继续单步执行,出来提示 pass to application就行了 内存查看 用od习惯了之后,凡事都想右键看一下内存,但是IDA中好像没有那么如意, 目前只是在栈中右键发现有查看hex的选项 动态调试的时候的nop ida保存动态调试的时候修改的数据 方法一:在程序运行的时候保存 The post IDA动态调试ELF中遇到的问题(1) appeared first on cole . https://ift.tt/2q9Qf5g WHATEVER April 05, 2018 at 09:44AM
发表评论
阅读全文

数据库(MySQL)编程之数据库和表的基本操作

http://ift.tt/2gOXg6X     数据库和表的基本操作 操作前的基本知识 基本 sql语句不区分大小写(关键字建议用大小写),但字符串常量区分大小写 sql语句可单行或多行书写,以; 结尾 关键字不能跨行或简写 可以用空格或者缩进来提高可读性 注释 sql标准 /**/ : 多行注释 "--":单行注释 mysql 标准: "#":单行注释 "COMMENT":为字段或列添加注释 创建和查看数据库 创建数据库 模板 CREATE DATABASE [IF NOT EXISTS ] db_name create_specification: IF NOT EXITSTS : 检查数据库是否存在,如果存在就不创建 creat_specification :创建条件 CHARACTER SET: 制定数据聚采用的字符集 COLLATE :制定数据库字符集的比较方式 DEFAULT :表示默认内容,即使没有制定该项,也有默认的值 # 创建数据库使用字符集为 UTF-8 ,使用规则为 uftf_bin CREATE DATABASE db_name DEFAULT CHARACTER SET utf8 COLLATE uft8_bin; 一般默认的数据库就是utf8 和utf8_bin的比较方式,因此一般创建数据库的时候都用 CREATE DATABASE db_name mysql> create database testdb; Query OK, 1 row affected (0.02 sec) 查看数据库 命令 SHOW DATABASES     mysql> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | mysql | | performance_schema | | sakila | | sys | | testdb | |...
发表评论
阅读全文